Baixe o app para aproveitar ainda mais
Prévia do material em texto
COMPUTAÇÃO FORENSE 1) Atualmente, criminosos são atraídos pelo grande volume de informações pessoais circulando pelas redes do mundo inteiro, e procuram se especializar ou buscam pessoas qualificadas nessa área, portanto é correto afirmar que: a) A melhor maneira para combater tais ataques, é a prevenção, não só utilizando equipamentos de alta tecnologia e sistemas seguros, como também instruindo as pessoas que os utilizam. b) A melhor maneira para combater tais ataques é a prevenção, só́ utilizando equipamentos de alta tecnologia e sistemas seguros. c) A melhor maneira para combater tais ataques é a suspensão de equipamentos de alta tecnologia e sistemas seguros. d) A melhor maneira para combater tais ataques é a prevenção, apenas instruindo as pessoas que utilizam equipamentos de alta tecnologia e sistemas seguros. e) É fundamental permitir que usuários dos computadores espalhados pelo mundo tenham a oportunidade de trocar dados e informações em poucos milissegundos, proporcionando assim maior velocidade e rapidez na comunicação entre máquinas e pessoas. Resposta: A - Quando tais medidas se tornam ineficazes ou inexistentes, deve-se recorrer à Perícia Forense Computacional para que haja uma investigação e os criminosos punidos. Essa pratica é feita por um profissional habilitado, com conhecimentos tanto em Informática, quanto em Direito; especialista em analisar vestígios digitais e em produzir provas técnicas que servirão de apoio para a decisão de um juiz. 2) O objetivo principal da Computação Forense: a) É determinar a materialidade, dinâmica e autoria de ilícitos ligados à área de Informática, proporcionando a identificação e o processamento de evidências digitais através de provas materiais de crime, por meio de métodos técnico-científicos, porém não podendo ser utilizado de forma válida em juízo. b) É determinar a materialidade, dinâmica e autoria de ilícitos ligados à área de Informática, proporcionando a identificação e o processamento de evidências digitais através de provas materiais de crime, por meio de métodos técnico-científicos, podendo ser utilizado de forma válida em juízo, proporcionando ao juiz o devido convencimento da autoria e materialidade do crime. c) Analisar a subjetividade, dinâmica e autoria de ilícitos ligados à área de Informática, proporcionando a identificação e o processamento de evidências digitais através de provas materiais de crime, por meio de métodos técnico-científicos, podendo ser utilizado de forma válida em juízo, proporcionando ao juiz o devido convencimento da autoria e materialidade do crime. d) Estudar o ser humano, percebendo que a capacidade de efetuar cálculos sempre esteve ligada ao seu desenvolvimento, ou seja, cada vez que ele conseguia resolver operações matemáticas mais complexas e com maior rapidez, maiores eram os avanços científicos que alcançava. e) Permitir que usuários dos computadores espalhados pelo mundo tenham a oportunidade de trocar dados e informações em poucos milissegundos, proporcionando assim maior velocidade e rapidez na comunicação entre máquinas e pessoas. Resposta: B - O ponto principal da Computação Forense é ser uma grande ferramenta para a solução de crimes cibernéticos, inclusive representa uma grande evolução no que concerne às provas dos crimes que vão ser utilizadas de forma válida em juízo, proporcionando ao juiz o devido convencimento da autoria e materialidade do crime, ou seja, quem praticou o delito e que tipo de delito. 3) Com respeito à classificação da Computação Forense, podemos afirmar que: a) Buscam-se abordagens para reduzir a utilização errônea e ingênua de possíveis evidências importantes. b) Objetiva-se investigar a fonte originadora de um determinado documento bem como sua autenticidade. c) Procuram-se soluções que permitam identificar as evidências de modo a reduzir o esforço técnico necessário durante sua análise. d) Procuram-se soluções que impossibilitem identificar as evidências de modo a reduzir o esforço técnico necessário durante sua análise. e) Estabelece a autenticidade de um documento ou expor quaisquer manipulações que este possa ter sofrido. Resposta: C - O grande objetivo, na hora da classificação, é facilitar a análise de todas as provas colhidas, de forma sequencial e clara. 4) Em relação à coleta e organização da Computação Forense, podemos afirmar que: a) Procuram-se soluções que permitam identificar as evidências de modo a reduzir o esforço técnico necessário durante sua análise. b) Buscam-se abordagens para reduzir a utilização errônea e ingênua de possíveis evidências importantes. c) Procuram-se soluções que impossibilitem identificar as evidências de modo a reduzir o esforço técnico necessário durante sua análise. d) Estabelece a autenticidade de um documento ou expor quaisquer manipulações que este possa ter sofrido. e) Objetiva-se investigar a fonte originadora de um determinado documento bem como sua autenticidade. Resposta: B - Na detecção de manipulações, procura-se estabelecer a autenticidade de um documento ou expor quaisquer manipulações que este possa ter sofrido. 5) Conforme determina o Art. 158, do Código de Processo Penal (CPP), quando a infração deixar vestígios, será indispensável: a) O exame de corpo de delito, apenas direto, não podendo supri-lo a confissão do acusado. b) O exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado. c) O exame de corpo de delito, apenas indireto, não podendo supri-lo a confissão do acusado. d) O exame de corpo de delito, direto ou indireto, podendo supri-lo a confissão do acusado. e) A presença de todos os meios legais, bem como os moralmente legítimos, ainda que não especificados no CPP, sendo hábeis para provar a verdade dos fatos, em que se funda a ação ou a defesa. Resposta: B - Importante saber que todo crime que deixa vestígio deve ser examinado, seja direta ou indiretamente, e mesmo o acusado confessando deve-se verificar minuciosamente todas as provas. 6) A investigação da Computação Forense deve levar em conta algumas considerações, tais como: a) Necessidade de autorização judicial, realização da análise sobre réplicas, além da obrigatoriedade da elaboração de um laudo pericial contendo o histórico dos procedimentos adotados. b) Dispensa de autorização judicial, realização da análise sobre réplicas, além da obrigatoriedade da elaboração de um laudo pericial contendo o histórico dos procedimentos adotados. c) Realização da análise sobre as provas originais, além da obrigatoriedade da elaboração de um laudo pericial contendo o histórico dos procedimentos adotados. d) Necessidade de autorização judicial, realização da análise sobre réplicas, sendo dispensável a elaboração de um laudo pericial. e) A existência de forças investigativas, coercitivas e preventivas, a fim de se evitar vergonhosas barbaridades que são constantes em nosso mundo. Resposta: A - Necessária se faz a autorização judicial para toda busca e análise de evidências, caso contrário o trabalho perderá sua validade. Deve-se realizar a análise sobre as réplicas, para que a prova avaliada não sofra nenhum tipo de alteração durante sua análise por peritos. A análise deve ter seu histórico de procedimentos formalmente descrito em um laudo pericial, quando solicitado pelo juiz, pois o perito é um tradutor especializado de fatos que poderão auxiliar sua decisão. 7) O equipamento usado como meio para a realização do crime de Informática ocorre quando: a) O computador é a peça central para a ocorrência do delito, pois com ou sem o equipamento o crime seria cometido. b) O computador é a peça acessória para a ocorrência do delito, pois se o equipamento não existisse o crime não seria cometido. c) O computador é a peça central para a ocorrência do delito, pois se o equipamentonão existisse o crime não seria cometido. d) O computador é a peça irrelevante para a ocorrência do delito, pois de qualquer forma o crime seria cometido. e) A infração deixar vestígios, sendo indispensável o exame de corpo de delito, direito ou indireto, não podendo supri-lo a confissão do acusado. Resposta: C - O equipamento usado como meio para a realização do crime ocorre quando o computador é a peça central para a ocorrência do delito, pois se o equipamento não existisse o crime não seria cometido, tais como “furto” de senhas, de informações, pedofilia, entre outros. 8) A ferramenta forense, que ajuda na detecção de arquivos contendo pornografia infanto- juvenil, ainda no local do crime, é: a) NuDetetive. c) Kazaa. e) My Shared. b) eMule. d) Cellebrite. Resposta: A - Outra ferramenta forense que ajuda na detecção de arquivos contendo pornografia infanto-juvenil ainda no local do crime é a “NuDetective”, que realiza a detecção automática de nudez em imagens (ImageAnalysis), verifica se os nomes de arquivos têm expressões típicas de pornografia infanto-juvenil (FileNameAnalysis), além de realizar a comparação de valores hash com uma lista predefinida, identificando arquivos previamente conhecidos (Hash Analysis). 9) Entre as frases a seguir, assinale aquela que não é verdadeira. a) Cada disco rígido armazena os dados em bandas concêntricas chamadas trilhas e estas trilhas, por sua vez, consistem de setores, que vêm a ser a menor unidade física de armazenamento. b) Chamamos cluster a menor unidade lógica de armazenamento. c) Slack Space são porções do cluster em um disco, que não são preenchidas completamente com os dados. d) (Lost Clusters) Clusters perdidos são resultados da deleção de arquivos da tabela FAT existente no sistema. e) Chamamos particionamento a criação lógica de drives em um disco. Resposta: D - Lost Clusters - Clusters perdidos, são resultados de erros de alocação na tabela FAT do sistema de arquivos, geralmente resultados de erros lógicos e não de erros físicos do disco. Ocorrem, principalmente, por interrupções em atividades de leitura e gravação dos arquivos. 10) Dentre as opções a seguir, indique aquela que não representa um dos principais usos mais comuns dos USB flash drives: a) Transferência de dados entre um computador e outro. c) Para transferir aplicações. b) Para executar tarefas de administração do sistema. d) Para reproduzir músicas. e) Para dar boot em sistemas operacionais. Resposta: D - Os USB flash drives são dispositivos compostos de memória flash do tipo NAND, não volátil, que possuem a capacidade de armazenamento de dados, mesmo sem alimentação de energia. Não são capazes de reproduzir mídias, mas armazenam e transferem os arquivos para outros dispositivos. Alguns dispositivos reprodutores de mídias, como o Ipod, também possuem memória flash do tipo NAND e além de armazenar, podem reproduzir esses arquivos. 11) Também chamados de disquetes, são discos magnéticos de plástico, cobertos por um polímero que atribui características magnéticas, portáveis e de baixo custo: a) Discos Flexíveis - Floppy discs. d) DVD - Digital Versatil Disk. b) Fitas Magnéticas - Magnetic tapes. e) Blu-ray Discs. c) Disco compacto - Compact Disc (CD). Resposta: A - São lentos, comparados aos discos rígidos, e sua capacidade de armazenamento é pequena. Embora ainda existam, as indústrias abandonaram sua produção, tendo em vista que outras tecnologias, mais eficientes e de maior capacidade de armazenamento, o tenham substituído. Eram produzidos em três formatos, oito polegadas, 5 1/4 polegadas e atualmente, ainda encontrados os de 3 1/2 polegadas. 12) São porções do cluster em um disco, que não são preenchidas completamente com os dados. a) FAT - File Allocation Table. c) Bad Sectors. e) Disk Partition. b) Slack Space. d) Scandisk. Resposta: B - Em um cluster, todo espaço não utilizado é perdido e clusters de tamanho largo tendem a ter menor taxa de fragmentação, mas quantidade de espaço perdido - slack space maior. Slack Space são porções do cluster em um disco, que não são preenchidas completamente com os dados. Quando um arquivo é alocado em um disco, ele recebe um determinado número de clusters para comportá-lo, se o tamanho do arquivo for menor que o tamanho do cluster, ainda assim, ele ocupará um cluster completo, entretanto, com espaço não usado. 13) Investigações corporativas são geralmente mais fáceis de serem conduzidas do que investigações policiais em decorrência de quais motivos? a) A maioria das empresas costuma manter bancos de dados de inventário de todo hardware e software utilizado. b) O investigador não tem de obter um mandado de busca e apreensão. c) O investigador tem de obter um mandado de busca e apreensão. d) Os usuários podem carregar o que quiserem em suas máquinas. e) Por não poder visualizar ou tocar os dados diretamente, torna-se complicado identificar a prova digital como real ou virtual. Resposta: B - As empresas, geralmente, possuem políticas internas que regulam o funcionamento do seu negócio e o ordenamento de seus procedimentos internos, em todos os setores críticos da empresa. A empresa é proprietária de todos os seus recursos, produzidos para seu negócio, deste modo, dispensa a necessidade de um mandado de busca e apreensão judiciais, mesmo para os e-mails de seus funcionários, desde que sejam emails corporativos. 14) ____________________ é o tipo mais comum de investigação forense e, geralmente, acontece quando um empregado, que têm acesso a informações protegidas e confidenciais, vem a ser demitido e passa a trabalhar no concorrente. a) Prevaricação. c) Furto de propriedade intelectual. b) Litígios civis. d) Ataques externos. e) Investigação contra violações por parte de companhias. Resposta: C - Dependendo da natureza da informação, o mal uso desta pode levar a graves prejuízos para uma empresa. Geralmente, a investigação se inicia internamente mas, pode se tornar um litígio civil, passando a seguir não mais as políticas internas mas a legislação em vigor, devendo serem adotados criteriosos procedimentos para garantir a validade das evidências coletadas. 15) “Produto de um ataque de hackers, onde um indivíduo de fora da companhia penetra em sua rede para explorar os dados ou navegar nesta rede propriamente dita, em busca de vantagens comerciais, ou retaliação ou por simples prazer de fazê-lo.” A afirmativa se refere a: a) Prevaricação. c) Furto de propriedade intelectual. b) Litígios civis. d) Ataques externos. e) Investigação contra violações por parte de companhias. Resposta: D - Procuram obter informações de clientes ou dados financeiros como o de cartões de crédito, afetando a reputação das empresas, e, geralmente, obtêm, no tempo de duração do ataque, a informação essencial. A investigação, geralmente, se inicia ao mesmo tempo em que as medidas de remediação dos prejuízos ocorrem. Nesses casos, a documentação dos passos tomados torna-se crítica e uma importante medida para assegurar a preservação das evidências. 16) Liste dois algoritmos de hash utilizados para fins forenses. a) MD5 e SH1. c) SH1 e SH3. e) MD4 e SH3. b) SH2 e MD4. d) MD4 e SH1. Resposta: A - Após a clonagem de um dispositivo de armazenamento, para garantir as semelhanças entre o original e a cópia, é usual a obtenção de um valor ao que chamamos número hash. Existem múltiplos algoritmos de hashing, mas, os mais usados em práticas forenses são o MD5 e o SHA-1 e SHA-2. 17) Assinale a afirmativa incorreta. a) Os arquivos gráficos são os mais usados para se esconder informações. b) O esteganografia é o método de se esconder dados utilizando-se de um arquivo hospedeiro para cobrir o conteúdo de uma mensagem secreta. c) As ferramentas de análise esteganográficas conseguem detectaras alterações nos arquivos gráficos, mesmo que tenham sido renomeados e alteradas suas extensões. d) Apenas os arquivos gráficos podem ser usados pela esteganografia. e) A presença de programas de esteganografia instalados no computador ou no registro de log do sistema, alertam para a existência de arquivos com dados ocultos. Resposta: D - Existem ferramentas de esteganografia que conseguem incluir dados em arquivos de imagem JPGs e arquivos de áudio, por exemplo. A presença de programas de esteganografia instalados no computador ou no registro de log do sistema, alertam para a existência de arquivos com dados ocultos. 18) ___________________ permite que o conteúdo de um arquivo tenha o seu tamanho de armazenamento e transmissão reduzidos por algoritmos específicos. a) Compressão. c) Encriptação. e) Esteganografia. b) Slack Space. d) Wiping Data. Resposta: A - A maioria das ferramentas forenses é capaz de identificar a compressão, entretanto não é capaz de analisar o arquivo comprimido, sendo necessário realizar a descompressão do arquivo antes de examiná-lo. 19) Dados remanescentes de um setor que foi sobrescrito e não ocupado plenamente, sendo possível que informações fragmentadas do arquivo anterior tenham sido preservadas neste espaço, sendo possível examiná-las, trata-se da técnica: a) Encriptação. c) Wiping Data e) Compressão. b) Slack Space. d) Assinatura de Arquivos Resposta: B - Algumas técnicas antiforenses são utilizadas de modo legítimo, para protegerem dados pessoais, entretanto, necessitam ser evidenciadas essas técnicas para que seja procedida a análise forense. 20) Técnica que representa método utilizado para se descobrir senha. a) Slack Space. c) Ataque de força bruta. e) Ocultação de dados. b) Encriptação. d) Esteganografia. Resposta: C - Técnica que consiste do uso de algoritmos que tentam quebra da chave ou senha desses arquivos encriptados, usando um dicionário pré-compilado de valores. São técnicas de criptoanálise, ou quebra de senhas: o ataque de força bruta, que requer grande capacidade de processamento; ataque de dicionário; rainbow tables que se utiliza de tabelas pré-compiladas de hashes; reset de senha, realizado através de softwares que sobrescrevem os arquivos SAM (Secure Account Manager) do sistema; e engenharia reversa, que requer modificações no arquivo fonte do software, alterando o trecho responsável pela autenticação, alterando a senha ou excluindo sua necessidade. 21) Assinale a afirmativa incorreta. a) Os links de arquivos, nada mais são que atalhos para arquivos que podem ter sido criados pelo sistema ou pelo usuário. b) Shadows copies fornecem os dados necessários para o sistema realizar um ponto de restauração do sistema. c) MRU (most recently used) consiste de uma lista de atalhos para os programas mais usados recentemente no Windows. d) Depois que um arquivo de imagem é deletado, a imagem em miniatura (thumbnail) criada pelo sistema operacional não serve como evidência forense. e) Os metadados dos arquivos no Windows não são confiáveis, devido as informações sobre data e hora do sistema poderem ser alteradas facilmente pelo usuário. Resposta: D - Apesar do arquivo de imagem ser deletado do sistema, se uma imagem em miniatura deste arquivo estiver presente e for recuperada, poderá ser usada como evidência, pois comprova que o arquivo esteve presente no computador e foi acessado. 22) Existem dois tipos de metadados, quais são? a) Aplicação e Arquivos de sistema. d) Spool de Impressão e Thumbnail Cache. b) Spool de Impressão e Aplicação. e) Acesso e Criação. c) Thumbnail Cache e Arquivos de Sistema. Resposta: A - O sistema operacional do Windows faz uso de metadados para registrar informações sobre os arquivos. Essas informações podem ser acessadas pela função propriedades do arquivo, ao se usar o gerenciador de arquivos do próprio sistema. O sistema de arquivos mantém o controle de nossos arquivos e pastas, bem como de algumas informações sobre eles. Metadados do sistema de arquivos incluem a data e quando um arquivo ou pasta foi criado, acessado ou modificado. Se você clicar com o botão direito em "Propriedades" de algum arquivo, você pode ver as datas/horas de criação e acesso. 23) Para tornar mais fácil de procurar as imagens no computador, o Windows cria versões menores de suas fotos chamadas: a) Most Recently Used- MRU. d) Recycle Bin. b) Thumbnails. e) Hiperfile.sys. c) Metadados. Resposta: B - Thumbnails são apenas versões menores de suas contrapartes maiores. Essas miniaturas são criadas automaticamente pelo Windows quando o usuário seleciona a visualização de "Thumbnail" ao se usar o Windows Explorer. Windows cria um par de diferentes tipos de arquivos em miniatura, dependendo da versão que está sendo usado. Windows XP cria um arquivo chamado thumbs.db. Microsoft Vista e Windows 7 costumam criar um arquivo semelhante chamado thumbcache.db. O interessante é que, mesmo após o arquivo ter sido deletado, a miniatura permanece no disco, podendo servir de evidência. 24) São links que servem como atalhos para aplicativos ou arquivos que têm sido recentemente utilizados: a) Arquivos de links. d) Spool de impressão. b) Thumbnail. e) Most Recently Used-MRU. c) Metadados. Resposta: E - A ação pode ser vista clicando no botão Iniciar do Windows, ou através do menu arquivo em muitas aplicações. 25) Entre os artefatos do Windows a seguir, indique aquele que não se trata de uma fonte de informação volátil. a) Informação de rede (network information). d) Drives mapeados. b) Processos de memória. e) Metadados. c) Processos em andamento. Resposta: E - Os metadados são informações registradas em alguns arquivos, como documentos do Word, imagens JPG, portanto, informações provenientes de unidades de armazenamento não voláteis, como os discos rígidos. 26) Existem dois tipos de aquisição de dados, quais são? a) Verificação de Redundância Cíclica e aquisições ao vivo (live). b) Secure Hash Algorithm e Message Digest 5. c) Aquisições estáticas e aquisições ao vivo (live). d) Expert Witness e EnCase. e) Aquisições estáticas e Verificação de Redundância Cíclica. Resposta: C - Os processos e os requisitos de integridade de dados para aquisições estáticas e ao vivo são os mesmos. A única desvantagem com aquisições ao vivo é não permitir executar processos repetitivos, que são fundamentais para a coleta de evidências digitais. Com aquisições estáticas, se preservada a mídia original, fazer uma segunda aquisição estática deve produzir os mesmos resultados. O objetivo deve ser o de manter os dados no disco original não alterado, não importa quantas vezes uma aquisição for feita. 27) Entre as afirmativas a seguir, indique a incorreta. a) O ponto mais fraco de qualquer investigação digital é a integridade dos dados que você coleta, de modo que a validação é o aspecto mais crítico de todo o processo. b) Saber a quantidade de dados existentes no dispositivo de armazenagem a ser periciado não faz diferença para a criação da imagem forense. c) Para a computação forense, a atividade de aquisição de dados representa a fase de coleta de evidências digitais de uma mídia eletrônica. d) O processo de aquisição de dados deve ser registrado com notas, formulários e até mesmo vídeos para garantir a validade da evidência. e) Para se garantir a integridade das evidências existentes em um pendrive, utilizando-se o Windows, devem-se realizar alterações no registro do sistema para que o drive USB seja apenas para leitura, bloqueando a escrita. Resposta: B - Como as unidades de armazenamento possuem tamanhos variados e, com o avanço tecnológico, passam a ter capacidade cada vez maiores, antes de se fazer a aquisição das evidências, deve se fazer uma verificação da quantidade de dados que deverãoser coletados, garantindo que a imagem forense irá comportar os mesmos dados da fonte das evidências. 28) De acordo com as ferramentas forenses, em que tipo de mídia você pode armazenar o seu kit: a) CDs, DVDs, USB Drives. c) Kaaza. e) Disco rígido. b) Emule. d) NuDetective. Resposta: A - Tendo em vista que a computação forense abrange vários tipos de sistemas operacionais, seria de ótima escolha optar por uma mídia que pudesse ser acessada por múltiplas plataformas e tivesse proteção contra gravação e escrita. Desses destacam-se os CDs e DVDs. 29) Entre as afirmativas a seguir, indique a incorreta. a) Quando se vai restaurar uma imagem forense, obtida de um disco rígido, se faz necessário realizar uma limpeza a nível de bytes (wipe disk) do disco de destino. b) Arquivos deletados, na verdade, são meramente marcados para deleção e não apagados fisicamente do disco. c) A maior quantidade de arquivos em um disco rígido é reconhecidamente formada de arquivos do próprio sistema operacional, não tendo valor probativo como evidência. d) As imagens forenses podem ser montadas em máquinas virtuais. e) Os processos do sistema e as atividades dos dispositivos de drivers não são recuperáveis no sistema do Windows. Resposta: E - Os processos do sistema e as atividades dos dispositivos de drivers são registradas no log do sistema, podendo conter evidências e serem coletadas. 30) No passado, havia apenas uma maneira prática de copiar dados para efeitos de prova, preservação e análise. Examinadores realizavam uma cópia bit a bit de um disco para um outro disco do mesmo tamanho ou maior. Como uma maneira prática para preservar evidências digitais, fornecedores (e alguns utilitários do sistema operacional, como o Linux comando / UNIX dd) tornaram possível a escrita de dados em fluxo de bits para arquivos. Essa técnica de cópia cria arquivos planos sequenciais simples de um drive suspeito ou de um conjunto de dados. A saída desses arquivos é conhecida como? a) Formato RAW. c) Formato bit a bit. e) Formato Proprietário. b) Formato Encase. d) Formato RAM. Resposta: A - As vantagens do formato RAW são as transferências de dados mais rápidas e a capacidade de ignorar pequenos erros de leitura de dados na unidade de origem. Além disso, a maioria das ferramentas de computação forense podem ler o formato RAW, tornando-se um formato universal de aquisição para a maioria das ferramentas. 31) : Formatos proprietários normalmente oferecem vários recursos que complementam a ferramenta de análise do fornecedor, tais como: a) A capacidade de segregar metadados para o arquivo de imagem, como a data e hora de aquisição. b) A capacidade de integrar uma imagem em arquivos menores segmentados para fins de arquivamento, tal como em CDs ou DVDs, com verificações de integridade de dados integrados em cada segmento. c) A opção para comprimir ou não compactar arquivos de imagem de uma unidade suspeito, poupando espaço na unidade de destino. d) A opção para comprimir e não compactar arquivos de imagem de uma unidade suspeito, sacrificando espaço na unidade de destino. e) Realizam uma cópia bit a bit de um disco para um outro disco do mesmo tamanho ou maior. Resposta: C - A maioria das ferramentas de computação forense comerciais têm seus próprios formatos para coleta de evidências digitais. Formatos proprietários normalmente oferecem vários recursos que complementam a ferramenta de análise do fornecedor, tais como as seguintes: - A opção para comprimir ou não compactar arquivos de imagem de uma unidade suspeito, poupando espaço na unidade de destino; - A capacidade de dividir uma imagem em arquivos menores segmentados para fins de arquivamento, como em CDs ou DVDs, com verificações de integridade de dados integrados em cada segmento; - A capacidade de integrar metadados para o arquivo de imagem, como a data e hora de aquisição, o valor de hash (para a autoautenticação) do disco original ou mídia, investigador ou nome do examinador, e comentários ou detalhes de casos. 32) Uma grande desvantagem de aquisições em formato proprietário é: a) A opção para comprimir ou não compactar arquivos de imagem de uma unidade suspeita, poupando espaço na unidade de destino. b) A incapacidade para partilhar uma imagem gerada entre ferramentas de análise de diferentes fornecedores. c) A capacidade de integrar metadados para o arquivo de imagem, como a data e hora de aquisição, o valor de hash (para a autoautenticação) do disco original ou mídia, investigador ou nome do examinador, e comentários ou detalhes de casos. d) A capacidade de dividir uma imagem em arquivos menores segmentados para fins de arquivamento, como em CDs ou DVDs, com verificações de integridade de dados integrados em cada segmento. e) A capacidade para partilhar uma imagem gerada entre ferramentas de análise de diferentes fornecedores. Resposta: C - De todos os formatos proprietários para aquisição de imagem, o formato Expert Witness é atualmente o padrão não oficial. Esse formato, o padrão da empresa Guidance Software EnCase, produz dois arquivos de imagem comprimidos e não comprimidos. Esses arquivos (ou volumes) criam a imagem forense com uma extensão com “.E01” e incrementando o número para cada segmento adicional ao volume de imagem.
Compartilhar