Aula 05

Prévia do material em texto

(quanto menor, mais fácil para realizar os testes que veremos). Obs.: Crie um arquivo pequeno 
para facilitar a visualização da busca pelo cabeçalho e rodapé posteriormente; 
 
2. Excluir o arquivo direto, sem ir para a lixeira (Shift + Del); 
 
3. Visualizar a partição do pen drive que você gravou (e excluiu) o arquivo com o FTK Imager; 
 
4. Realizar a busca pelo cabeçalho e pelo rodapé PNG, selecionar desde o cabeçalho até o rodapé, 
incluindo o conteúdo, exportar essa seleção para um arquivo (ex.: “saida.png”); 
 
5. Tentar abrir o arquivo “saida.png” para ver se funcionou. 
A sequência de figuras mostradas a seguir pode ajudar você a realizar o experimento e a entender como 
funciona o carving baseado em cabeçalho/rodapé. 
 
figura.png 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
5
29
 
FTK Imager: Adicionando o pen drive. 
 
 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
6
29
Drive físico, ou seja, não quero apenas uma partição, quer ver tudo! 
 
Selecionando o pen drive. 
 
 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
7
29
Selecionando o arquivo PNG, desde seu cabeçalho até seu rodapé. 
 
Exportando o binário (representado em hexadecimal). 
Pode acreditar, deu certo! Recuperei o conteúdo do antigo arquivo “figura.png”, exportando para um 
arquivo denominado “saida.png”. Faça o passo a passo e veja como é fácil recuperar um arquivo dessa forma! 
Veja que dessa forma foi possível recuperar apenas o conteúdo, nada de metadados! 
Um problema dessa técnica é quando um cabeçalho/rodapé é pequeno, como por exemplo o formato JPEG, 
que possui o cabeçalho “0xFFD8” e o rodapé “0xFFD9”. Mesmo que um arquivo JPEG excluído esteja íntegro 
e não esteja fragmentado, parte da imagem raw pode possuir a mesma sequência do cabeçalho ou do rodapé 
em algumas áreas que não sejam cabeçalho nem rodapé JPEG. 
Assim, um falso início de arquivo pode ser detectado, o que pode gerar um arquivo imenso, até ser 
encontrado um rodapé. Ou um fim de arquivo pode ser detectado antes do final de fato, fazendo com que o 
arquivo extraído fique menor (truncando). 
Por isso, quanto maior forem o cabeçalho e o rodapé, menores são as chances de falsos positivos. 
Um segundo problema é que, como essa técnica não consegue lidar com a fragmentação, pode ocorrer 
inclusive de ser encontrado o cabeçalho de um arquivo de determinado formato e o rodapé de outro arquivo 
do mesmo formato, criando um arquivo com a mistura dos dois ou até mesmo de mais arquivos. 
Um outro problema é que alguns arquivos não possuem cabeçalhos fixos. É o que ocorre com a maioria dos 
arquivos de texto puxo (plain text), como por exemplo documentos de texto e arquivos HTML. 
Uma questão a ser levantada é que a maioria dos tipos de arquivos possui um cabeçalho fixo, mas nem todos 
possuem um rodapé fixo (ou nem possuem rodapé). Nesse caso, o carving é iniciado no cabeçalho e ocorre 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
8
29
até um tamanho definido para esses tipos de arquivo. Essa definição do tamanho geralmente ocorre em um 
arquivo de configuração, como é o caso do software foremost (Recomendo a utilização desse software). 
Um arquivo “foremost.conf” simples, com apenas dois tipos de arquivo pré-definidos (JPEG e DOC) e uma 
definição criada, baseada em uma string (“PERICIA”), é mostrado abaixo. 
# -------------------- FORMATO ----------------------- 
# ext. case tamanho cabeçalho rodapé 
# sensitive 
#----------------------------------------------------- 
# Exemplos: 
#----------------------------------------------------- 
# Sem ext., qualquer arq. com a string PERICIA 
 NONE y 1000 PERICIA 
 
# Arq. JPEG (3 possíveis cabeçalhos, tam. máx. = 20MB) 
 jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9 
 jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9 
 jpg y 20000000 \xff\xd8 \xff\xd9 
# Arq. DOC, tam. máx. = 12,5MB, sem rodapé 
 doc y 12500000 \xd0\xcf\x11\xe0\xa1\xb1 
Para essa técnica, além de possuir os mesmos problemas já mencionados, existem pelo menos mais dois: 
1. Geralmente trará resultados maiores do que os arquivos originais. Fica a tarefa para o perito 
determinar manualmente a posição de fim do arquivo, descartando os dados restantes; 
 
2. Mesmo que o tamanho definido seja um valor consideravelmente grande, pode ocorrer em algumas 
situações desse número ser pequeno. Assim, mesmo que haja arquivos íntegros e sem fragmentação, 
a quantidade de dados extraída será menor que o arquivo original, deixando o arquivo extraído 
incompleto (truncado). 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
9
29
Carving Baseado na Estrutura do Arquivo 
A técnica de carving baseada na estrutura do arquivo realiza a varredura na imagem raw e utiliza 
determinado nível de conhecimento sobre a estrutura interna dos tipos de arquivos. Utilizando mais uma 
vez o tipo PNG como exemplo, pode-se verificar que além do cabeçalho e do rodapé, há uma estrutura 
interna. Um resumo da estrutura é mostrado abaixo (Importante ressaltar que o formato PNG utiliza o 
ordenamento big endian): 
Campo Tamanho Descrição Valor 
Assinatura 8 bytes Assinatura PNG 0x89504E470D0A1A0A 
Header Chunk 
(IHDR) 
13 bytes Tamanho do header chunk 
(4 bytes), tipo (4), dados (1) 
e CRC (4). 
Tamanho = 0D (13), Tipo 
= IHDR 
Palette Chunk 
(PLTE) 
3 a 768 
bytes 
Armazena o mapa de cores 
associado com os dados da 
imagem. 
Valores do byte 22 ao 87 
(66 bytes) 
Image Data Chunk 
(IDAT) 
0 a (231-1) 
bytes 
Armazena os dados da 
imagem. Múltiplos IDATs 
podem ocorrer em um 
stream de dados, e devem 
ser armazenados em ordem 
contígua. 
Identificador IDAT (bytes 
88 a 91), dados da 
imagem (92 a 184). 
Image Trailer 
Chunk (IEND) 
8 bytes Assinatura (IEND) e mais 4 
bytes de CRC. 
0x49454E44AE426082 
 
Como pode ser observado, esse tipo de carving é muito específico e costuma ser implementado por peritos 
através de ferramentas desenvolvidas por eles. Por exemplo, se um perito recebe um caso para analisar 
cuja estrutura do arquivo seja importante para a realização da recuperação, não encontre um software que 
já possua tal tipo de arquivo definido, ele terá que desenvolver o software/script ou configurar um já 
existente para que consiga interpretar tal formato. 
Carving Baseado em Blocos de Conteúdo 
É uma técnica útil na detecção de fragmentação nos casos em que a técnica baseada na estrutura do arquivo 
não obtém êxito. Lembre-se que a mídia de armazenamento é composta por setores e o conjunto de N 
setores forma um bloco (cluster). Assim, o carving analisa bloco a bloco para verificar se ele possui parte de 
um arquivo. De acordo com os metadados, cálculos (ou estatísticas) são aplicados sobre os bytes em um 
bloco. 
Por exemplo, se um arquivo com formato PNG possui um tamanho de 7000 bytes, ele ocupará vários blocos. 
Se os blocos não estiverem contíguos, a técnica de carvingbaseado na estrutura não teria sucesso, pois não 
detectaria a fragmentação. 
Porém, cada bloco utilizado pelo arquivo possui o mesmo tipo de dado, o que significa que a entropia (nível 
de aleatoriedade) de cada um desses blocos deve permanecer em determinados limites. Se houver uma 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
10
29
mudança brusca na entropia, há uma grande probabilidade de o bloco que possui a entropia diferente não 
fazer parte dos dados do arquivo de determinado tipo (ex.: PNG). 
O grande problema é encontrar o cálculo para distinguir um bloco que pertença a um arquivo e um que não 
pertença. Um software que combina técnicas de carving baseadas na estrutura do arquivo e em blocos de 
conteúdo, mesmo quando houver fragmentação linear4, é o Revit075. 
“Carving” Baseado em Sistema de Arquivos 
A técnica de “carving” baseado no sistema de arquivos (recuperação de arquivos) possibilita a recuperação 
do nome, além de outros metadados e o seu conteúdo. Isso ocorre porque é realizada uma análise nas 
estruturas do sistema de arquivos, buscando o nome e os ponteiros do arquivo excluído (caso essas 
informações não tenham sido sobrescritas). 
 
Notem que coloquei o termo carving entre aspas, pois tal termo é utilizado quando a 
recuperação é aplicada nos dados crus (raw). Em princípio, havendo alguma questão 
que mencione carving, associe apenas à recuperação de dados crus, sem qualquer 
recuperação de metadados. 
Quando há a fragmentação e os ponteiros dos fragmentos não tiverem sido sobrescritos (além dos blocos 
de dados estarem íntegros), há a possibilidade da recuperação por completo, dando o nome original ao 
arquivo recuperado. 
Um passo a passo será realizado a seguir, demonstrando como funciona essa técnica. Uma imagem de um 
pen drive foi realizada (pendrive.dd). Para a análise da imagem, primeiramente foi analisado seu leiaute, 
conforme mostrado na figura abaixo (obs.: foram utilizadas ferramentas contidas na distribuição CAINE). 
 
Como pode ser observado, há apenas uma partição NTFS (na verdade trata-se de FAT32, formatado através 
Windows 8, que por algum motivo desconhecido a tabela de partições assumiu o valor de NTFS). 
 
4 Os fragmentos estão em ordem na mídia, ou seja, não ocorre a situação em que um fragmento N esteja 
posicionado antes de um fragmento N-1. 
5 Disponível em . 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
11
29
Para facilitar o entendimento, a partição (início = setor 32, tamanho = 417658 setores) foi extraída para um 
arquivo denominado particao.dd. 
 
Detalhes do sistema de arquivos (FAT32) podem ser visualizados nas figuras a seguir (através dessas 
informações será possível identificar a localização de arquivos excluídos). 
 
Visualização de parte das informações da partição. 
Na figura abaixo são mostrados apenas os setores alocados por arquivos, ou seja, não são mostrados os que 
podem possuir dados excluídos. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
12
29
 
Parte dos setores alocados por arquivos. 
Como o exemplo trata de FAT32, e sabendo que as entradas na FAT relacionadas aos clusters que deixam de 
ser alocados (exclusão de um arquivo) são zerados, não haveria como verificar que clusters fazem parte de 
um arquivo excluído. Desta forma, a solução é verificar as entradas de diretório, que ficam armazenadas na 
área de dados, como pode ser visto abaixo: 
 
Visualização de entradas de diretório de arquivos excluídos. 
Uma maneira de visualizar a entrada de diretórios 23 é verificar o diretório raiz. Como cada entrada de 
diretório FAT32 possui 32 bytes, a entrada número 23 se encontra no segundo setor, pois cada setor de 512 
bytes possui no máximo 16 entradas. A figura mostra o início da visualização dos dois primeiros setores de 
dados da partição (setores 3296 e 3297). 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
13
29
 
Parte inicial do primeiro setor do diretório raiz. 
Como o diretório raiz é localizado no cluster 2 (definido pela Microsoft), as demais entradas de diretório 
devem possuir valor maior ou igual a 3. Então, para realizar o cálculo de localização de entrada de diretório 
do arquivo 01.docx, deve-se subtrair 23 por 3, obtendo o valor 20. Após, deve-se multiplicar por 32 bytes 
(tamanho utilizado em FAT32 para os dados de entrada de diretório), obtendo-se o valor 640, equivalente a 
0x280: 
 
Entrada de diretório número 23 (endereço 0x280). 
 
Como o nome do arquivo do exemplo é “01.docx”, foi utilizada uma entrada LFN6 na entrada de diretório 
número 22, porém os metadados do arquivo ficam localizados na entrada número 23. 
O primeiro byte (0xE5) confirma que o arquivo foi excluído. Os bytes 20, 21, 26 e 27 possuem o endereço do 
primeiro cluster do arquivo excluído (0x97 = 151). Como os dois primeiros clusters (localizados antes do 
cluster do início do diretório raiz) são reservados, deve-se subtrair 151 por 2 (obtendo-se 149) e multiplicar 
por 2 (quantidade de setores por cluster no pen drive analisado). 
O resultado (298) deve ser adicionado a 3296 (início da área de dados), tendo como resultado 3594 a posição 
de início do arquivo excluído. O tamanho do arquivo pode ser obtido nos bytes 28 a 31 (0xA4FC = 42.236 
bytes). A figura a seguir mostra a execução da ferramenta istat, que lê os dados explicados até o momento, 
além das datas e horários de criação, acesso e modificação, e setores utilizados. 
 
6 Long File Name: Em sistemas FAT, quando um nome de arquivo excede oito caracteres no nome ou 
três na extensão, é criado um nome arquivo curto e um nome longo. O nome longo ocupará outra(s) 
entrada(s) de diretório, precedendo a entrada de diretório atual. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
14
29
 
Informações dos metadados e setores utilizados. 
Importante ressaltar que como as entradas na tabela FAT relacionadas aos clusters ocupados pelo arquivo 
foram zeradas quando da sua exclusão, não é possível saber a ordem deles. No exemplo mostrado, nota-se 
a ocorrência de fragmentação, o que dificulta ainda mais o processo de recuperação. 
As duas figuras a seguir mostram a realização da cópia de fragmento por fragmento, supondo que os setores 
estão em ordem. Após, os fragmentos são reunidos para formar o arquivo recuperado. 
 
 
Cópia dos primeiros fragmentos. 
 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
15
29
==168c02==
Cópia dos últimos fragmentos. 
 
União dos fragmentos para formar o arquivo 01.docx. 
Um detalhe importante é que o último setor geralmente possui slack space, então deve ser copiado apenas 
os bytes relativos ao arquivo (fragmento 18 no exemplo, que possui apenas 252 bytes). 
No fim foi possívelcertificar que o arquivo gerado possuía o mesmo tamanho (42.236 bytes) dos metadados 
verificado no início do experimento. Caso os setores estejam em ordem, a recuperação é concluída com 
êxito. Caso contrário, ocorrerá um erro na abertura do arquivo (através de um editor de textos compatível 
com o formato DOCX, no exemplo). 
Trabalhoso, não é? Mostrei um passo a passo para ver como funciona, pois, na prática utilizamos softwares 
ou scripts que automatizam o processo. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
16
29
QUESTÕES COMENTADAS 
1. (IADES/PC-DF - 2016) As ferramentas de restauração de arquivos são úteis tanto para recuperação em 
caso de desastres (remoção proposital ou acidental) quanto para análise forense. Nesse sentido, 
existem várias ferramentas que auxiliam na restauração de dados, de acordo com o sistema de arquivo 
utilizado. 
Com base no exposto, é correto afirmar que o (a) 
A) FSCK recupera arquivos apagados em sistemas de arquivos EXT3. 
B) FSCK é um comando para restauração de sistemas de arquivos NTFS. 
C) undelete é um comando nativo dos sistemas operacionais Windows com NTFS. 
D) Data Recovery é um utilitário para recuperação de arquivos EXT3 do Linux. 
E) ext3grep e extundelete são usadas para recuperação de dados em sistemas Linux. 
Comentários: 
O fsck serve para verificar erros no sistema de arquivos (casos de queda de energia, desligamento incorreto 
do computador etc.). É comum principalmente quando seu sistema de arquivo ainda é ext2 (sem journaling). 
Undelete e Data Recovery são nomes genéricos, há softwares que utilizam como parte do nome uma dessas 
expressões, mas geralmente não ficam “amarrados” a apenas um tipo de sistemas de arquivos (NTFS ou 
EXT3, por exemplo). Os softwares ext3grep e extundelete são usados para recuperação de dados em 
sistemas Linux (sistema de arquivos da “família” EXT). Portanto, a alternativa E está correta e é o gabarito 
da questão. 
2. (FUNDATEC/IGP-RS - 2017) As Ciências Forenses iluminam os caminhos daqueles que buscam a 
verdade e a justiça pela ciência, sendo a Computação Forense uma das luzes mais brilhantes. Para 
tentar ocultar vestígios dos olhos atentos do perito criminal, os criminosos usam qual técnica? 
A) Cópia bit-a-bit. 
B) Geração de hashes. 
C) Esteganografia. 
D) Carving. 
E) Super-Resolução. 
Comentários: 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
17
29
(A) É a duplicação forense, que gera uma imagem (espelhamento); (B) Utilizada geralmente para garantir a 
integridade dos dados; (C) Exato! Esconde dados em um hospedeiro, como veremos em outra aula; (D) É o 
assunto que vimos nesta aula. A tentativa de recuperação de dados excluídos em uma imagem raw, através 
de cabeçalhos, rodapés e outros tipos de marcação ou estrutura; (E) Super resolução? Pode ser algo 
relacionado ao monitor, por exemplo, mas só um palpite... Portanto, a alternativa C está correta e é o 
gabarito da questão. 
3. (CESPE/ABIN - 2018) As técnicas de data carving objetivam a recuperação de dados apagados a partir 
da análise de dados brutos à procura de assinaturas e outras marcações. Havendo sucesso nessa busca, 
data carving realiza a recuperação de arquivos inteiros e de seus metadados, e, em alguns casos, de 
fragmentos de arquivos que podem ter utilidade forense. 
Comentários: 
A primeira parte está ok, pois o conceito de data carving é a recuperação de dados excluídos a partir da 
análise de dados brutos (raw), através de assinaturas (cabeçalho e/ou rodapé, ou outro tipo de marcação). 
Mas a recuperação de metadados não é considerada em um carving. Portanto, a questão está errada. 
4. (CESPE/Polícia Federal - 2018) File recovery é a recuperação de arquivos com base em índice de 
sistemas de arquivos. 
Comentários: 
A questão fala em “file recovery” = “recuperação de arquivo”, logo deve haver a recuperação através do 
sistema de arquivos, o qual possui índices da localização dos dados, entre outras informações. Se falasse em 
“carving”, aí seria a recuperação “bruta”, uma varredura na mídia (ou na cópia, que é o ideal em uma análise 
forense) sem índice nenhum! Portanto, a questão está correta. 
5. (CESPE/Polícia Federal - 2018) O registro do Windows é um arquivo do sistema no qual são guardados 
todos os usuários dos aplicativos, para o controle do nível de acesso aos respectivos dados. 
Comentários: 
Na realidade o registro do Windows não é um arquivo! São hives (arquivos separados) que juntos formam 
uma estrutura hierárquica. Nele não são armazenados os usuários de cada aplicativo instalado, a não ser que 
o desenvolvedor queira fazer assim, o que não é nada comum (nunca vi)! Mas no fim das contas eu gostaria 
de saber...o que essa questão tem a ver com recuperação de arquivos??? Portanto, a questão está errada. 
6. (ELABORADA PELO PROFESSOR - 2018) Em relação à recuperação de dados excluídos é correto afirmar 
que 
A) A entropia de um arquivo de texto prejudica a recuperação. 
B) A entropia de um arquivo de imagem (fotografia) ajuda a recuperação. 
C) É possível tanto a recuperação de fragmentos como de arquivos por inteiro. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
18
29
==168c02==
D) Somente é possível recuperar arquivos íntegros. 
E) Somente é possível recuperar fragmentos de arquivos de texto e arquivos íntegros. 
Comentários: 
A entropia está relacionada à aleatoriedade dos dados, o que ajuda nas técnicas em que levam em 
consideração a fragmentação de arquivos. O fato é que é possível recuperar apenas os dados que ainda não 
foram sobrescritos, podendo ser fragmentos ou arquivos inteiros. Portanto, a alternativa C está correta e é 
o gabarito da questão. 
7. (ELABORADA PELO PROFESSOR - 2018) Dos softwares relacionados abaixo, qual possui a finalidade 
específica de realizar data carving? 
A) Autopsy 
B) dd 
C) Encase 
D) foremost 
E) Thumbscrew 
Comentários: 
(A) Autopsy é um software gratuito que serve para muita coisa, incluindo análise de imagens raw, buscas por 
palavras-chave, filtros por tipo de arquivos e carving! (B) dd serve basicamente para a duplicação forense; 
(C) Encase é um software pago que faz de tudo um pouco, até mesmo a realização de duplicação forense e 
carving! (D) foremost aplica carving e o arquivo foremost.conf (mostrado a seguir) serve como referência 
com cabeçalhos/rodapés; (E) Thumbscrew é um software simples que habilita/desabilita a escrita no 
barramento USB (Windows). 
# -------------------- FORMATO ----------------------- 
# ext. case tamanho cabeçalho rodapé 
# sensitive 
#----------------------------------------------------- 
# Exemplos: 
#----------------------------------------------------- 
# Sem ext., qualquer arq. com a string PERICIA 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
19
29
 NONE y 1000 PERICIA 
# Arq. JPEG (3 possíveis cabeçalhos, tam. máx. = 20MB) 
 jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9 
 jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9 
 jpg y 20000000 \xff\xd8 \xff\xd9 
# Arq. DOC, tam. máx. = 12,5MB, sem rodapé 
 doc y 12500000 \xd0\xcf\x11\xe0\xa1\xb1certificar que o arquivo gerado possuía o mesmo tamanho (42.236 bytes) dos metadados 
verificado no início do experimento. Caso os setores estejam em ordem, a recuperação é concluída com 
êxito. Caso contrário, ocorrerá um erro na abertura do arquivo (através de um editor de textos compatível 
com o formato DOCX, no exemplo). 
Trabalhoso, não é? Mostrei um passo a passo para ver como funciona, pois, na prática utilizamos softwares 
ou scripts que automatizam o processo. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
16
29
QUESTÕES COMENTADAS 
1. (IADES/PC-DF - 2016) As ferramentas de restauração de arquivos são úteis tanto para recuperação em 
caso de desastres (remoção proposital ou acidental) quanto para análise forense. Nesse sentido, 
existem várias ferramentas que auxiliam na restauração de dados, de acordo com o sistema de arquivo 
utilizado. 
Com base no exposto, é correto afirmar que o (a) 
A) FSCK recupera arquivos apagados em sistemas de arquivos EXT3. 
B) FSCK é um comando para restauração de sistemas de arquivos NTFS. 
C) undelete é um comando nativo dos sistemas operacionais Windows com NTFS. 
D) Data Recovery é um utilitário para recuperação de arquivos EXT3 do Linux. 
E) ext3grep e extundelete são usadas para recuperação de dados em sistemas Linux. 
Comentários: 
O fsck serve para verificar erros no sistema de arquivos (casos de queda de energia, desligamento incorreto 
do computador etc.). É comum principalmente quando seu sistema de arquivo ainda é ext2 (sem journaling). 
Undelete e Data Recovery são nomes genéricos, há softwares que utilizam como parte do nome uma dessas 
expressões, mas geralmente não ficam “amarrados” a apenas um tipo de sistemas de arquivos (NTFS ou 
EXT3, por exemplo). Os softwares ext3grep e extundelete são usados para recuperação de dados em 
sistemas Linux (sistema de arquivos da “família” EXT). Portanto, a alternativa E está correta e é o gabarito 
da questão. 
2. (FUNDATEC/IGP-RS - 2017) As Ciências Forenses iluminam os caminhos daqueles que buscam a 
verdade e a justiça pela ciência, sendo a Computação Forense uma das luzes mais brilhantes. Para 
tentar ocultar vestígios dos olhos atentos do perito criminal, os criminosos usam qual técnica? 
A) Cópia bit-a-bit. 
B) Geração de hashes. 
C) Esteganografia. 
D) Carving. 
E) Super-Resolução. 
Comentários: 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
17
29
(A) É a duplicação forense, que gera uma imagem (espelhamento); (B) Utilizada geralmente para garantir a 
integridade dos dados; (C) Exato! Esconde dados em um hospedeiro, como veremos em outra aula; (D) É o 
assunto que vimos nesta aula. A tentativa de recuperação de dados excluídos em uma imagem raw, através 
de cabeçalhos, rodapés e outros tipos de marcação ou estrutura; (E) Super resolução? Pode ser algo 
relacionado ao monitor, por exemplo, mas só um palpite... Portanto, a alternativa C está correta e é o 
gabarito da questão. 
3. (CESPE/ABIN - 2018) As técnicas de data carving objetivam a recuperação de dados apagados a partir 
da análise de dados brutos à procura de assinaturas e outras marcações. Havendo sucesso nessa busca, 
data carving realiza a recuperação de arquivos inteiros e de seus metadados, e, em alguns casos, de 
fragmentos de arquivos que podem ter utilidade forense. 
Comentários: 
A primeira parte está ok, pois o conceito de data carving é a recuperação de dados excluídos a partir da 
análise de dados brutos (raw), através de assinaturas (cabeçalho e/ou rodapé, ou outro tipo de marcação). 
Mas a recuperação de metadados não é considerada em um carving. Portanto, a questão está errada. 
4. (CESPE/Polícia Federal - 2018) File recovery é a recuperação de arquivos com base em índice de 
sistemas de arquivos. 
Comentários: 
A questão fala em “file recovery” = “recuperação de arquivo”, logo deve haver a recuperação através do 
sistema de arquivos, o qual possui índices da localização dos dados, entre outras informações. Se falasse em 
“carving”, aí seria a recuperação “bruta”, uma varredura na mídia (ou na cópia, que é o ideal em uma análise 
forense) sem índice nenhum! Portanto, a questão está correta. 
5. (CESPE/Polícia Federal - 2018) O registro do Windows é um arquivo do sistema no qual são guardados 
todos os usuários dos aplicativos, para o controle do nível de acesso aos respectivos dados. 
Comentários: 
Na realidade o registro do Windows não é um arquivo! São hives (arquivos separados) que juntos formam 
uma estrutura hierárquica. Nele não são armazenados os usuários de cada aplicativo instalado, a não ser que 
o desenvolvedor queira fazer assim, o que não é nada comum (nunca vi)! Mas no fim das contas eu gostaria 
de saber...o que essa questão tem a ver com recuperação de arquivos??? Portanto, a questão está errada. 
6. (ELABORADA PELO PROFESSOR - 2018) Em relação à recuperação de dados excluídos é correto afirmar 
que 
A) A entropia de um arquivo de texto prejudica a recuperação. 
B) A entropia de um arquivo de imagem (fotografia) ajuda a recuperação. 
C) É possível tanto a recuperação de fragmentos como de arquivos por inteiro. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
18
29
==168c02==
D) Somente é possível recuperar arquivos íntegros. 
E) Somente é possível recuperar fragmentos de arquivos de texto e arquivos íntegros. 
Comentários: 
A entropia está relacionada à aleatoriedade dos dados, o que ajuda nas técnicas em que levam em 
consideração a fragmentação de arquivos. O fato é que é possível recuperar apenas os dados que ainda não 
foram sobrescritos, podendo ser fragmentos ou arquivos inteiros. Portanto, a alternativa C está correta e é 
o gabarito da questão. 
7. (ELABORADA PELO PROFESSOR - 2018) Dos softwares relacionados abaixo, qual possui a finalidade 
específica de realizar data carving? 
A) Autopsy 
B) dd 
C) Encase 
D) foremost 
E) Thumbscrew 
Comentários: 
(A) Autopsy é um software gratuito que serve para muita coisa, incluindo análise de imagens raw, buscas por 
palavras-chave, filtros por tipo de arquivos e carving! (B) dd serve basicamente para a duplicação forense; 
(C) Encase é um software pago que faz de tudo um pouco, até mesmo a realização de duplicação forense e 
carving! (D) foremost aplica carving e o arquivo foremost.conf (mostrado a seguir) serve como referência 
com cabeçalhos/rodapés; (E) Thumbscrew é um software simples que habilita/desabilita a escrita no 
barramento USB (Windows). 
# -------------------- FORMATO ----------------------- 
# ext. case tamanho cabeçalho rodapé 
# sensitive 
#----------------------------------------------------- 
# Exemplos: 
#----------------------------------------------------- 
# Sem ext., qualquer arq. com a string PERICIA 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
19
29
 NONE y 1000 PERICIA 
# Arq. JPEG (3 possíveis cabeçalhos, tam. máx. = 20MB) 
 jpg y 20000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9 
 jpg y 20000000 \xff\xd8\xff\xe1 \xff\xd9 
 jpg y 20000000 \xff\xd8 \xff\xd9 
# Arq. DOC, tam. máx. = 12,5MB, sem rodapé 
 doc y 12500000 \xd0\xcf\x11\xe0\xa1\xb1Portanto, a alternativa D está correta e é o gabarito da questão. 
8. (ELABORADA PELO PROFESSOR - 2018) Suponha o seguinte cenário: Um arquivo do tipo JPEG foi 
excluído no Windows através das teclas Shift + Del. Para a recuperação de tal arquivo, foi utilizada uma 
técnica que se baseia na varredura de uma imagem raw, buscando o cabeçalho (0xFFD8) e o rodapé 
(0xFFD9), sem buscar os metadados relacionados. Trata-se de 
A) ataque do dicionário. 
B) carving. 
C) duplicação forense. 
D) força bruta. 
E) rainbow tables. 
Comentários: 
Nessa questão procurei utilizar o modelo que muitas bancas adotam, o de explicar em alguns detalhes uma 
técnica e colocar respostas bem objetivas. Quando houver menção à recuperação de dados baseada em 
cabeçalho/rodapé, sem recuperar metadados, fique atento ao carving! Duplicação forense é aquela cópia 
integral que devemos fazer antes de começar a examinar e analisar os dados. Ataque do dicionário, força 
bruta e rainbow tables são técnicas para quebrar senha. Portanto, a alternativa B está correta e é o gabarito 
da questão. 
9. (ELABORADA PELO PROFESSOR - 2018) Qual o funcionamento padrão da técnica de data carving 
baseado na estrutura do arquivo? 
A) Realiza a varredura na imagem bruta e utiliza os cabeçalhos/rodapés para determinar o início e fim dos 
arquivos a serem recuperados. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
20
29
B) Realiza a varredura na imagem bruta e utiliza determinado nível de conhecimento sobre a estrutura 
interna dos tipos de arquivos. 
C) Realiza a varredura no sistema de arquivos e utiliza determinado nível de conhecimento sobre a estrutura 
interna dos tipos de arquivos. 
D) Realiza a varredura no sistema de arquivos e utiliza cabeçalhos/rodapés como parâmetro sobre o início e 
fim dos arquivos. 
E) Realiza a varredura no sistema de arquivos e utiliza cabeçalhos e tamanho dos arquivos como parâmetro 
para a recuperação. 
Comentários: 
A técnica de carving baseada na estrutura do arquivo realiza a varredura na imagem raw e utiliza 
determinado nível de conhecimento sobre a estrutura interna dos tipos de arquivos. Pode-se verificar que 
além do cabeçalho e do rodapé, há uma estrutura interna. O exemplo mostrado nesta aula foi o formato do 
tipo PNG, conforme mostrado abaixo. 
Campo Tamanho Descrição Valor 
Assinatura 8 bytes Assinatura PNG 0x89504E470D0A1A0A 
Header Chunk 
(IHDR) 
13 bytes Tamanho do header chunk 
(4 bytes), tipo (4), dados (1) 
e CRC (4). 
Tamanho = 0D (13), Tipo 
= IHDR 
Palette Chunk 
(PLTE) 
3 a 768 
bytes 
Armazena o mapa de cores 
associado com os dados da 
imagem. 
Valores do byte 22 ao 87 
(66 bytes) 
Image Data Chunk 
(IDAT) 
0 a (231-1) 
bytes 
Armazena os dados da 
imagem. Múltiplos IDATs 
podem ocorrer em um 
stream de dados, e devem 
ser armazenados em ordem 
contígua. 
Identificador IDAT (bytes 
88 a 91), dados da 
imagem (92 a 184). 
Image Trailer 
Chunk (IEND) 
8 bytes Assinatura (IEND) e mais 4 
bytes de CRC. 
0x49454E44AE426082 
Portanto, a alternativa B está correta e é o gabarito da questão. 
10. (ELABORADA PELO PROFESSOR - 2018) Existe um tipo de recuperação de dados excluídos que pode 
recuperar até mesmo metadados. Trata-se da(o) 
A) Carving baseado em blocos de conteúdo. 
B) Carving baseado em cabeçalho/rodapé. 
C) Carving baseado em estrutura do arquivo. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
21
29
D) Recuperação baseada em sistema de arquivo. 
E) Recuperação baseada em cabeçalho/tamanho máximo. 
Comentários: 
A técnica de recuperação baseada no sistema de arquivos possibilita a recuperação do nome do arquivo 
(entre outros metadados), além do seu conteúdo. Isso ocorre porque é realizada uma análise nas estruturas 
do sistema de arquivos, buscando o nome e os ponteiros do arquivo excluído (caso essas informações não 
tenham sido sobrescritas). Portanto, a alternativa D está correta e é o gabarito da questão. 
11. (ELABORADA PELO PROFESSOR - 2018) Baseado nas boas práticas da computação forense, é correto 
afirmar que o data carving deve ser aplicado 
A) Em uma VM previamente montada. 
B) Na imagem bruta gerada anteriormente. 
C) Na mídia questionada, via barramento PATA. 
D) Na mídia questionada, via barramento SATA. 
E) Na mídia questionada, via barramento USB. 
Comentários: 
Como já vimos em aula referente aos conceitos de computação forense, todo exame, incluindo o data 
carving, deve ser aplicado na imagem (espelhamento) da mídia questionada. Portanto, a alternativa B está 
correta e é o gabarito da questão. 
12. (ELABORADA PELO PROFESSOR - 2018) Em relação a técnicas de data carving, é correto afirmar que 
A) Podem ser aplicadas somente diretamente em mídias. 
B) Podem ser aplicadas somente em imagens brutas. 
C) Podem ser aplicadas tanto em imagens brutas de uma mídia como diretamente na mídia. 
D) Não podem ser aplicadas em memórias flash. 
E) Não podem ser aplicadas em HDs. 
Comentários: 
Pessoal, a questão não menciona “melhores práticas”, POP (Procedimento Operacional Padrão) ou coisa 
parecida. Então, tais técnicas podem ser aplicadas tanto em mídias (de qualquer tipo) como na imagem bruta 
gerada a partir delas. Portanto, a alternativa C está correta e é o gabarito da questão. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
22
29
13. (ELABORADA PELO PROFESSOR - 2020) Suponha a seguinte situação: Um e-mail excluído ocupava as 
unidades de alocação de um disco, nas posições (endereçamento) 50000 e 50001. O e-mail ocupava 
exatamente as duas unidades (por completo), sendo que as unidades possuíam tamanho 16 KB cada 
(definido quando da formatação). Um arquivo denominado Tabela.doc, com tamanho 20 KB foi 
gravado nas posições 50000 e 50001, ou seja, o arquivo iniciou na unidade 50000 e seu final encontra-
se na unidade 50001. O perito realiza busca na imagem do disco questionado, utilizando software 
adequado (ex.: Autopsy) pela palavra-chave "falcatrua" e no e-mail citado anteriormente havia 
menção a tal palavra. Diante da situação, pode-se concluir que 
A) será encontrada tal palavra, desde que a mesma se encontre no início da unidade 50000 (nos primeiros 4 
KB da unidade). 
B) será encontrada tal palavra, desde que a mesma se encontre no fim da unidade 50000 (após os primeiros 
4 KB da unidade). 
C) será encontrada tal palavra, desde que a mesma se encontre no início da unidade 50001 (nos primeiros 4 
KB da unidade). 
D) será encontrada tal palavra, desde que a mesma se encontre no fim da unidade 50001 (após os primeiros 
4 KB da unidade). 
E) não será encontrada tal palavra no e-mail mencionado, pois o mesmo foi sobrescrito pelo arquivo 
Tabela.doc. 
Comentários: 
Achei melhor desenhar. Temos dois 
clusters (unidades de alocação) de 16KB. 
A questão nos traz que o e-mail ocupava 
exatamente 2 clusters (sem slack space): 
o 50000 e o 50001. O arquivo .doc foi 
gravado nos mesmos clusters, 
começando pelo 50000 (16 KB), mais 4 
KB do cluster 50001 (marquei em 
amarelo). Então, o que está delimitado 
em verde é o espaço que não foi 
sobrescrito! 
 
Portanto, a alternativa D está correta e é o gabarito da questão. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br05068333301 - Luis Robert junior
23
29
 
 
LISTA DE QUESTÕES 
1. (IADES/PC-DF - 2016) As ferramentas de restauração de arquivos são úteis tanto para recuperação em 
caso de desastres (remoção proposital ou acidental) quanto para análise forense. Nesse sentido, 
existem várias ferramentas que auxiliam na restauração de dados, de acordo com o sistema de arquivo 
utilizado. 
Com base no exposto, é correto afirmar que o (a) 
A) FSCK recupera arquivos apagados em sistemas de arquivos EXT3. 
B) FSCK é um comando para restauração de sistemas de arquivos NTFS. 
C) undelete é um comando nativo dos sistemas operacionais Windows com NTFS. 
D) Data Recovery é um utilitário para recuperação de arquivos EXT3 do Linux. 
E) ext3grep e extundelete são usadas para recuperação de dados em sistemas Linux. 
1. (FUNDATEC/IGP-RS - 2017) As Ciências Forenses iluminam os caminhos daqueles que buscam a 
verdade e a justiça pela ciência, sendo a Computação Forense uma das luzes mais brilhantes. Para 
tentar ocultar vestígios dos olhos atentos do perito criminal, os criminosos usam qual técnica? 
A) Cópia bit-a-bit. 
B) Geração de hashes. 
C) Esteganografia. 
D) Carving. 
E) Super-Resolução. 
2. (CESPE/ABIN - 2018) As técnicas de data carving objetivam a recuperação de dados apagados a partir 
da análise de dados brutos à procura de assinaturas e outras marcações. Havendo sucesso nessa busca, 
data carving realiza a recuperação de arquivos inteiros e de seus metadados, e, em alguns casos, de 
fragmentos de arquivos que podem ter utilidade forense. 
3. (CESPE/Polícia Federal - 2018) File recovery é a recuperação de arquivos com base em índice de 
sistemas de arquivos. 
4. (CESPE/Polícia Federal - 2018) O registro do Windows é um arquivo do sistema no qual são guardados 
todos os usuários dos aplicativos, para o controle do nível de acesso aos respectivos dados. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
24
29
 
 
5. (ELABORADA PELO PROFESSOR - 2018) Em relação à recuperação de dados excluídos é correto afirmar 
que 
A) A entropia de um arquivo de texto prejudica a recuperação. 
B) A entropia de um arquivo de imagem (fotografia) ajuda a recuperação. 
C) É possível tanto a recuperação de fragmentos como de arquivos por inteiro. 
D) Somente é possível recuperar arquivos íntegros. 
E) Somente é possível recuperar fragmentos de arquivos de texto e arquivos íntegros. 
6. (ELABORADA PELO PROFESSOR - 2018) Dos softwares relacionados abaixo, qual possui a finalidade 
específica de realizar data carving? 
A) Autopsy 
B) dd 
C) Encase 
D) foremost 
E) Thumbscrew 
7. (ELABORADA PELO PROFESSOR - 2018) Suponha o seguinte cenário: Um arquivo do tipo JPEG foi 
excluído no Windows através das teclas Shift + Del. Para a recuperação de tal arquivo, foi utilizada uma 
técnica que se baseia na varredura de uma imagem raw, buscando o cabeçalho (0xFFD8) e o rodapé 
(0xFFD9), sem buscar os metadados relacionados. Trata-se de 
A) ataque do dicionário. 
B) carving. 
C) duplicação forense. 
D) força bruta. 
E) rainbow tables. 
8. (ELABORADA PELO PROFESSOR - 2018) Qual o funcionamento padrão da técnica de data carving 
baseado na estrutura do arquivo? 
A) Realiza a varredura na imagem bruta e utiliza os cabeçalhos/rodapés para determinar o início e fim dos 
arquivos a serem recuperados. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
25
29
==168c02==
 
 
B) Realiza a varredura na imagem bruta e utiliza determinado nível de conhecimento sobre a estrutura 
interna dos tipos de arquivos. 
C) Realiza a varredura no sistema de arquivos e utiliza determinado nível de conhecimento sobre a estrutura 
interna dos tipos de arquivos. 
D) Realiza a varredura no sistema de arquivos e utiliza cabeçalhos/rodapés como parâmetro sobre o início e 
fim dos arquivos. 
E) Realiza a varredura no sistema de arquivos e utiliza cabeçalhos e tamanho dos arquivos como parâmetro 
para a recuperação. 
9. (ELABORADA PELO PROFESSOR - 2018) Existe um tipo de recuperação de dados excluídos que pode 
recuperar até mesmo metadados. Trata-se da(o) 
A) Carving baseado em blocos de conteúdo. 
B) Carving baseado em cabeçalho/rodapé. 
C) Carving baseado em estrutura do arquivo. 
D) Recuperação baseada em sistema de arquivo. 
E) Recuperação baseada em cabeçalho/tamanho máximo. 
10. (ELABORADA PELO PROFESSOR - 2018) Baseado nas boas práticas da computação forense, é correto 
afirmar que o data carving deve ser aplicado 
A) Em uma VM previamente montada. 
B) Na imagem bruta gerada anteriormente. 
C) Na mídia questionada, via barramento PATA. 
D) Na mídia questionada, via barramento SATA. 
E) Na mídia questionada, via barramento USB. 
11. (ELABORADA PELO PROFESSOR - 2018) Em relação a técnicas de data carving, é correto afirmar que 
A) Podem ser aplicadas somente diretamente em mídias. 
B) Podem ser aplicadas somente em imagens brutas. 
C) Podem ser aplicadas tanto em imagens brutas de uma mídia como diretamente na mídia. 
D) Não podem ser aplicadas em memórias flash. 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
26
29
 
 
E) Não podem ser aplicadas em HDs. 
12. (ELABORADA PELO PROFESSOR - 2020) Suponha a seguinte situação: Um e-mail excluído ocupava as 
unidades de alocação de um disco, nas posições (endereçamento) 50000 e 50001. O e-mail ocupava 
exatamente as duas unidades (por completo), sendo que as unidades possuíam tamanho 16 KB cada 
(definido quando da formatação). Um arquivo denominado Tabela.doc, com tamanho 20 KB foi 
gravado nas posições 50000 e 50001, ou seja, o arquivo iniciou na unidade 50000 e seu final encontra-
se na unidade 50001. O perito realiza busca na imagem do disco questionado, utilizando software 
adequado (ex.: Autopsy) pela palavra-chave "falcatrua" e no e-mail citado anteriormente havia 
menção a tal palavra. Diante da situação, pode-se concluir que 
A) será encontrada tal palavra, desde que a mesma se encontre no início da unidade 50000 (nos primeiros 4 
KB da unidade). 
B) será encontrada tal palavra, desde que a mesma se encontre no fim da unidade 50000 (após os primeiros 
4 KB da unidade). 
C) será encontrada tal palavra, desde que a mesma se encontre no início da unidade 50001 (nos primeiros 4 
KB da unidade). 
D) será encontrada tal palavra, desde que a mesma se encontre no fim da unidade 50001 (após os primeiros 
4 KB da unidade). 
E) não será encontrada tal palavra no e-mail mencionado, pois o mesmo foi sobrescrito pelo arquivo 
Tabela.doc. 
 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
27
29
 
 
GABARITO 
 
1. E 
2. C 
3. Errado 
4. Certo 
5. Errado 
6. C 
7. D 
8. B 
9. B 
10. D 
11. B 
12. C 
13. D 
 
 
Equipe Informática e TI, Evandro Dalla Vecchia Pereira 
Aula 05
Polícia Federal (Perito Criminal - Área 3 - Tecnologia da Informação) Sistemas Operacionais e Infraestrutura - 2023 (Pré-Edital
www.estrategiaconcursos.com.br
05068333301 - Luis Robert junior
28
29