COMPUTAÇÃO FORENSE - Exercícios - Pós Graduação

Prévia do material em texto

COMPUTAÇÃO FORENSE 
 
1) Atualmente, criminosos são atraídos pelo grande volume de informações pessoais 
circulando pelas redes do mundo inteiro, e procuram se especializar ou buscam pessoas 
qualificadas nessa área, portanto é correto afirmar que: 
a) A melhor maneira para combater tais ataques, é a prevenção, não só utilizando 
equipamentos de alta tecnologia e sistemas seguros, como também instruindo as pessoas 
que os utilizam. 
b) A melhor maneira para combater tais ataques é a prevenção, só́ utilizando equipamentos de 
alta tecnologia e sistemas seguros. 
c) A melhor maneira para combater tais ataques é a suspensão de equipamentos de alta 
tecnologia e sistemas seguros. 
d) A melhor maneira para combater tais ataques é a prevenção, apenas instruindo as pessoas 
que utilizam equipamentos de alta tecnologia e sistemas seguros. 
e) É fundamental permitir que usuários dos computadores espalhados pelo mundo tenham a 
oportunidade de trocar dados e informações em poucos milissegundos, proporcionando assim 
maior velocidade e rapidez na comunicação entre máquinas e pessoas. 
Resposta: A - Quando tais medidas se tornam ineficazes ou inexistentes, deve-se recorrer à 
Perícia Forense Computacional para que haja uma investigação e os criminosos punidos. Essa 
pratica é feita por um profissional habilitado, com conhecimentos tanto em Informática, 
quanto em Direito; especialista em analisar vestígios digitais e em produzir provas técnicas 
que servirão de apoio para a decisão de um juiz. 
 
2) O objetivo principal da Computação Forense: 
a) É determinar a materialidade, dinâmica e autoria de ilícitos ligados à área de Informática, 
proporcionando a identificação e o processamento de evidências digitais através de provas 
materiais de crime, por meio de métodos técnico-científicos, porém não podendo ser utilizado 
de forma válida em juízo. 
b) É determinar a materialidade, dinâmica e autoria de ilícitos ligados à área de Informática, 
proporcionando a identificação e o processamento de evidências digitais através de provas 
materiais de crime, por meio de métodos técnico-científicos, podendo ser utilizado de forma 
válida em juízo, proporcionando ao juiz o devido convencimento da autoria e materialidade 
do crime. 
c) Analisar a subjetividade, dinâmica e autoria de ilícitos ligados à área de Informática, 
proporcionando a identificação e o processamento de evidências digitais através de provas 
materiais de crime, por meio de métodos técnico-científicos, podendo ser utilizado de forma 
válida em juízo, proporcionando ao juiz o devido convencimento da autoria e materialidade do 
crime. 
d) Estudar o ser humano, percebendo que a capacidade de efetuar cálculos sempre esteve 
ligada ao seu desenvolvimento, ou seja, cada vez que ele conseguia resolver operações 
matemáticas mais complexas e com maior rapidez, maiores eram os avanços científicos que 
alcançava. 
e) Permitir que usuários dos computadores espalhados pelo mundo tenham a oportunidade de 
trocar dados e informações em poucos milissegundos, proporcionando assim maior velocidade 
e rapidez na comunicação entre máquinas e pessoas. 
Resposta: B - O ponto principal da Computação Forense é ser uma grande ferramenta para a 
solução de crimes cibernéticos, inclusive representa uma grande evolução no que concerne 
às provas dos crimes que vão ser utilizadas de forma válida em juízo, proporcionando ao juiz 
o devido convencimento da autoria e materialidade do crime, ou seja, quem praticou o delito 
e que tipo de delito. 
 
3) Com respeito à classificação da Computação Forense, podemos afirmar que: 
a) Buscam-se abordagens para reduzir a utilização errônea e ingênua de possíveis evidências 
importantes. 
b) Objetiva-se investigar a fonte originadora de um determinado documento bem como sua 
autenticidade. 
c) Procuram-se soluções que permitam identificar as evidências de modo a reduzir o esforço 
técnico necessário durante sua análise. 
d) Procuram-se soluções que impossibilitem identificar as evidências de modo a reduzir o 
esforço técnico necessário durante sua análise. 
e) Estabelece a autenticidade de um documento ou expor quaisquer manipulações que este 
possa ter sofrido. 
Resposta: C - O grande objetivo, na hora da classificação, é facilitar a análise de todas as 
provas colhidas, de forma sequencial e clara. 
 
4) Em relação à coleta e organização da Computação Forense, podemos afirmar que: 
a) Procuram-se soluções que permitam identificar as evidências de modo a reduzir o esforço 
técnico necessário durante sua análise. 
b) Buscam-se abordagens para reduzir a utilização errônea e ingênua de possíveis evidências 
importantes. 
c) Procuram-se soluções que impossibilitem identificar as evidências de modo a reduzir o 
esforço técnico necessário durante sua análise. 
d) Estabelece a autenticidade de um documento ou expor quaisquer manipulações que este 
possa ter sofrido. 
e) Objetiva-se investigar a fonte originadora de um determinado documento bem como sua 
autenticidade. 
Resposta: B - Na detecção de manipulações, procura-se estabelecer a autenticidade de um 
documento ou expor quaisquer manipulações que este possa ter sofrido. 
 
5) Conforme determina o Art. 158, do Código de Processo Penal (CPP), quando a infração 
deixar vestígios, será indispensável: 
a) O exame de corpo de delito, apenas direto, não podendo supri-lo a confissão do acusado. 
b) O exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do 
acusado. 
c) O exame de corpo de delito, apenas indireto, não podendo supri-lo a confissão do acusado. 
d) O exame de corpo de delito, direto ou indireto, podendo supri-lo a confissão do acusado. 
e) A presença de todos os meios legais, bem como os moralmente legítimos, ainda que não 
especificados no CPP, sendo hábeis para provar a verdade dos fatos, em que se funda a ação 
ou a defesa. 
Resposta: B - Importante saber que todo crime que deixa vestígio deve ser examinado, seja 
direta ou indiretamente, e mesmo o acusado confessando deve-se verificar minuciosamente 
todas as provas. 
 
6) A investigação da Computação Forense deve levar em conta algumas considerações, tais 
como: 
a) Necessidade de autorização judicial, realização da análise sobre réplicas, além da 
obrigatoriedade da elaboração de um laudo pericial contendo o histórico dos procedimentos 
adotados. 
b) Dispensa de autorização judicial, realização da análise sobre réplicas, além da 
obrigatoriedade da elaboração de um laudo pericial contendo o histórico dos procedimentos 
adotados. 
c) Realização da análise sobre as provas originais, além da obrigatoriedade da elaboração de 
um laudo pericial contendo o histórico dos procedimentos adotados. 
d) Necessidade de autorização judicial, realização da análise sobre réplicas, sendo dispensável 
a elaboração de um laudo pericial. 
e) A existência de forças investigativas, coercitivas e preventivas, a fim de se evitar 
vergonhosas barbaridades que são constantes em nosso mundo. 
Resposta: A - Necessária se faz a autorização judicial para toda busca e análise de 
evidências, caso contrário o trabalho perderá sua validade. Deve-se realizar a análise sobre 
as réplicas, para que a prova avaliada não sofra nenhum tipo de alteração durante sua 
análise por peritos. 
A análise deve ter seu histórico de procedimentos formalmente descrito em um laudo 
pericial, quando solicitado pelo juiz, pois o perito é um tradutor especializado de fatos que 
poderão auxiliar sua decisão. 
 
7) O equipamento usado como meio para a realização do crime de Informática ocorre quando: 
a) O computador é a peça central para a ocorrência do delito, pois com ou sem o equipamento 
o crime seria cometido. 
b) O computador é a peça acessória para a ocorrência do delito, pois se o equipamento não 
existisse o crime não seria cometido. 
c) O computador é a peça central para a ocorrência do delito, pois se o equipamentonão 
existisse o crime não seria cometido. 
d) O computador é a peça irrelevante para a ocorrência do delito, pois de qualquer forma o 
crime seria cometido. 
e) A infração deixar vestígios, sendo indispensável o exame de corpo de delito, direito ou 
indireto, não podendo supri-lo a confissão do acusado. 
Resposta: C - O equipamento usado como meio para a realização do crime ocorre quando o 
computador é a peça central para a ocorrência do delito, pois se o equipamento não existisse 
o crime não seria cometido, tais como “furto” de senhas, de informações, pedofilia, entre 
outros. 
 
8) A ferramenta forense, que ajuda na detecção de arquivos contendo pornografia infanto-
juvenil, ainda no local do crime, é: 
a) NuDetetive. c) Kazaa. e) My Shared. 
b) eMule. d) Cellebrite. 
Resposta: A - Outra ferramenta forense que ajuda na detecção de arquivos contendo 
pornografia infanto-juvenil ainda no local do crime é a “NuDetective”, que realiza a detecção 
automática de nudez em imagens (ImageAnalysis), verifica se os nomes de arquivos têm 
expressões típicas de pornografia infanto-juvenil (FileNameAnalysis), além de realizar a 
comparação de valores hash com uma lista predefinida, identificando arquivos previamente 
conhecidos (Hash Analysis). 
 
9) Entre as frases a seguir, assinale aquela que não é verdadeira. 
a) Cada disco rígido armazena os dados em bandas concêntricas chamadas trilhas e estas 
trilhas, por sua vez, consistem de setores, que vêm a ser a menor unidade física de 
armazenamento. 
b) Chamamos cluster a menor unidade lógica de armazenamento. 
c) Slack Space são porções do cluster em um disco, que não são preenchidas completamente 
com os dados. 
d) (Lost Clusters) Clusters perdidos são resultados da deleção de arquivos da tabela FAT 
existente no sistema. 
e) Chamamos particionamento a criação lógica de drives em um disco. 
Resposta: D - Lost Clusters - Clusters perdidos, são resultados de erros de alocação na tabela 
FAT do sistema de arquivos, geralmente resultados de erros lógicos e não de erros físicos do 
disco. Ocorrem, principalmente, por interrupções em atividades de leitura e gravação dos 
arquivos. 
 
10) Dentre as opções a seguir, indique aquela que não representa um dos principais usos mais 
comuns dos USB flash drives: 
a) Transferência de dados entre um computador e outro. c) Para transferir aplicações. 
b) Para executar tarefas de administração do sistema. d) Para reproduzir músicas. 
e) Para dar boot em sistemas operacionais. 
Resposta: D - Os USB flash drives são dispositivos compostos de memória flash do tipo NAND, 
não volátil, que possuem a capacidade de armazenamento de dados, mesmo sem 
alimentação de energia. Não são capazes de reproduzir mídias, mas armazenam e 
transferem os arquivos para outros dispositivos. Alguns dispositivos reprodutores de mídias, 
como o Ipod, também possuem memória flash do tipo NAND e além de armazenar, podem 
reproduzir esses arquivos. 
 
11) Também chamados de disquetes, são discos magnéticos de plástico, cobertos por um 
polímero que atribui características magnéticas, portáveis e de baixo custo: 
a) Discos Flexíveis - Floppy discs. d) DVD - Digital Versatil Disk. 
b) Fitas Magnéticas - Magnetic tapes. e) Blu-ray Discs. 
c) Disco compacto - Compact Disc (CD). 
Resposta: A - São lentos, comparados aos discos rígidos, e sua capacidade de 
armazenamento é pequena. Embora ainda existam, as indústrias abandonaram sua 
produção, tendo em vista que outras tecnologias, mais eficientes e de maior capacidade de 
armazenamento, o tenham substituído. Eram produzidos em três formatos, oito polegadas, 5 
1/4 polegadas e atualmente, ainda encontrados os de 3 1/2 polegadas. 
 
12) São porções do cluster em um disco, que não são preenchidas completamente com os 
dados. 
a) FAT - File Allocation Table. c) Bad Sectors. e) Disk Partition. 
b) Slack Space. d) Scandisk. 
Resposta: B - Em um cluster, todo espaço não utilizado é perdido e clusters de tamanho largo 
tendem a ter menor taxa de fragmentação, mas quantidade de espaço perdido - 
slack space maior. Slack Space são porções do cluster em um disco, que não são preenchidas 
completamente com os dados. Quando um arquivo é alocado em um disco, ele recebe um 
determinado número de clusters para comportá-lo, se o tamanho do arquivo for menor que o 
tamanho do cluster, ainda assim, ele ocupará um cluster completo, entretanto, com espaço 
não usado. 
 
13) Investigações corporativas são geralmente mais fáceis de serem conduzidas do que 
investigações policiais em decorrência de quais motivos? 
a) A maioria das empresas costuma manter bancos de dados de inventário de todo hardware e 
software utilizado. 
b) O investigador não tem de obter um mandado de busca e apreensão. 
c) O investigador tem de obter um mandado de busca e apreensão. 
d) Os usuários podem carregar o que quiserem em suas máquinas. 
e) Por não poder visualizar ou tocar os dados diretamente, torna-se complicado identificar a 
prova digital como real ou virtual. 
Resposta: B - As empresas, geralmente, possuem políticas internas que regulam o 
funcionamento do seu negócio e o ordenamento de seus procedimentos internos, em todos 
os setores críticos da empresa. A empresa é proprietária de todos os seus recursos, 
produzidos para seu negócio, deste modo, dispensa a necessidade de um mandado de busca 
e apreensão judiciais, mesmo para os e-mails de seus funcionários, desde que 
sejam emails corporativos. 
 
14) ____________________ é o tipo mais comum de investigação forense e, geralmente, 
acontece quando um empregado, que têm acesso a informações protegidas e confidenciais, 
vem a ser demitido e passa a trabalhar no concorrente. 
a) Prevaricação. c) Furto de propriedade intelectual. 
b) Litígios civis. d) Ataques externos. 
e) Investigação contra violações por parte de companhias. 
Resposta: C - Dependendo da natureza da informação, o mal uso desta pode levar a graves 
prejuízos para uma empresa. Geralmente, a investigação se inicia internamente mas, pode 
se tornar um litígio civil, passando a seguir não mais as políticas internas mas a legislação 
em vigor, devendo serem adotados criteriosos procedimentos para garantir a validade das 
evidências coletadas. 
 
15) “Produto de um ataque de hackers, onde um indivíduo de fora da companhia penetra em 
sua rede para explorar os dados ou navegar nesta rede propriamente dita, em busca de 
vantagens comerciais, ou retaliação ou por simples prazer de fazê-lo.” A afirmativa se refere a: 
a) Prevaricação. c) Furto de propriedade intelectual. 
b) Litígios civis. d) Ataques externos. 
e) Investigação contra violações por parte de companhias. 
Resposta: D - Procuram obter informações de clientes ou dados financeiros como o de 
cartões de crédito, afetando a reputação das empresas, e, geralmente, obtêm, no tempo de 
duração do ataque, a informação essencial. A investigação, geralmente, se inicia ao mesmo 
tempo em que as medidas de remediação dos prejuízos ocorrem. Nesses casos, a 
documentação dos passos tomados torna-se crítica e uma importante medida para 
assegurar a preservação das evidências. 
 
16) Liste dois algoritmos de hash utilizados para fins forenses. 
a) MD5 e SH1. c) SH1 e SH3. e) MD4 e SH3. 
b) SH2 e MD4. d) MD4 e SH1. 
Resposta: A - Após a clonagem de um dispositivo de armazenamento, para garantir as 
semelhanças entre o original e a cópia, é usual a obtenção de um valor ao que chamamos 
número hash. Existem múltiplos algoritmos de hashing, mas, os mais usados em práticas 
forenses são o MD5 e o SHA-1 e SHA-2. 
 
17) Assinale a afirmativa incorreta. 
a) Os arquivos gráficos são os mais usados para se esconder informações. 
b) O esteganografia é o método de se esconder dados utilizando-se de um arquivo hospedeiro 
para cobrir o conteúdo de uma mensagem secreta. 
c) As ferramentas de análise esteganográficas conseguem detectaras alterações nos arquivos 
gráficos, mesmo que tenham sido renomeados e alteradas suas extensões. 
d) Apenas os arquivos gráficos podem ser usados pela esteganografia. 
e) A presença de programas de esteganografia instalados no computador ou no registro de log 
do sistema, alertam para a existência de arquivos com dados ocultos. 
Resposta: D - Existem ferramentas de esteganografia que conseguem incluir dados em 
arquivos de imagem JPGs e arquivos de áudio, por exemplo. A presença de programas de 
esteganografia instalados no computador ou no registro de log do sistema, alertam para a 
existência de arquivos com dados ocultos. 
 
18) ___________________ permite que o conteúdo de um arquivo tenha o seu tamanho de 
armazenamento e transmissão reduzidos por algoritmos específicos. 
a) Compressão. c) Encriptação. e) Esteganografia. 
b) Slack Space. d) Wiping Data. 
Resposta: A - A maioria das ferramentas forenses é capaz de identificar a compressão, 
entretanto não é capaz de analisar o arquivo comprimido, sendo necessário realizar a 
descompressão do arquivo antes de examiná-lo. 
 
19) Dados remanescentes de um setor que foi sobrescrito e não ocupado plenamente, sendo 
possível que informações fragmentadas do arquivo anterior tenham sido preservadas neste 
espaço, sendo possível examiná-las, trata-se da técnica: 
a) Encriptação. c) Wiping Data e) Compressão. 
b) Slack Space. d) Assinatura de Arquivos 
Resposta: B - Algumas técnicas antiforenses são utilizadas de modo legítimo, para 
protegerem dados pessoais, entretanto, necessitam ser evidenciadas essas técnicas para que 
seja procedida a análise forense. 
 
20) Técnica que representa método utilizado para se descobrir senha. 
a) Slack Space. c) Ataque de força bruta. e) Ocultação de dados. 
b) Encriptação. d) Esteganografia. 
Resposta: C - Técnica que consiste do uso de algoritmos que tentam quebra da chave ou 
senha desses arquivos encriptados, usando um dicionário pré-compilado de valores. São 
técnicas de criptoanálise, ou quebra de senhas: o ataque de força bruta, que requer grande 
capacidade de processamento; ataque de dicionário; rainbow tables que se utiliza de 
tabelas pré-compiladas de hashes; reset de senha, realizado através de softwares que 
sobrescrevem os arquivos SAM (Secure Account Manager) do sistema; e engenharia reversa, 
que requer modificações no arquivo fonte do software, alterando o trecho responsável pela 
autenticação, alterando a senha ou excluindo sua necessidade. 
 
21) Assinale a afirmativa incorreta. 
a) Os links de arquivos, nada mais são que atalhos para arquivos que podem ter sido criados 
pelo sistema ou pelo usuário. 
b) Shadows copies fornecem os dados necessários para o sistema realizar um ponto de 
restauração do sistema. 
c) MRU (most recently used) consiste de uma lista de atalhos para os programas mais usados 
recentemente no Windows. 
d) Depois que um arquivo de imagem é deletado, a imagem em miniatura (thumbnail) criada 
pelo sistema operacional não serve como evidência forense. 
e) Os metadados dos arquivos no Windows não são confiáveis, devido as informações sobre 
data e hora do sistema poderem ser alteradas facilmente pelo usuário. 
Resposta: D - Apesar do arquivo de imagem ser deletado do sistema, se uma imagem em 
miniatura deste arquivo estiver presente e for recuperada, poderá ser usada como evidência, 
pois comprova que o arquivo esteve presente no computador e foi acessado. 
 
22) Existem dois tipos de metadados, quais são? 
a) Aplicação e Arquivos de sistema. d) Spool de Impressão e Thumbnail Cache. 
b) Spool de Impressão e Aplicação. e) Acesso e Criação. 
c) Thumbnail Cache e Arquivos de Sistema. 
Resposta: A - O sistema operacional do Windows faz uso de metadados para registrar 
informações sobre os arquivos. Essas informações podem ser acessadas pela função 
propriedades do arquivo, ao se usar o gerenciador de arquivos do próprio sistema. O sistema 
de arquivos mantém o controle de nossos arquivos e pastas, bem como de algumas 
informações sobre eles. Metadados do sistema de arquivos incluem a data e quando um 
arquivo ou pasta foi criado, acessado ou modificado. Se você clicar com o botão direito em 
"Propriedades" de algum arquivo, você pode ver as datas/horas de criação e acesso. 
 
23) Para tornar mais fácil de procurar as imagens no computador, o Windows cria versões 
menores de suas fotos chamadas: 
a) Most Recently Used- MRU. d) Recycle Bin. 
b) Thumbnails. e) Hiperfile.sys. 
c) Metadados. 
Resposta: B - Thumbnails são apenas versões menores de suas contrapartes maiores. Essas 
miniaturas são criadas automaticamente pelo Windows quando o usuário seleciona a 
visualização de "Thumbnail" ao se usar o Windows Explorer. Windows cria um par de 
diferentes tipos de arquivos em miniatura, dependendo da versão que está sendo usado. 
Windows XP cria um arquivo chamado thumbs.db. Microsoft Vista e Windows 7 costumam 
criar um arquivo semelhante chamado thumbcache.db. O interessante é que, mesmo após o 
arquivo ter sido deletado, a miniatura permanece no disco, podendo servir de evidência. 
 
24) São links que servem como atalhos para aplicativos ou arquivos que têm sido 
recentemente utilizados: 
a) Arquivos de links. d) Spool de impressão. 
b) Thumbnail. e) Most Recently Used-MRU. 
c) Metadados. 
Resposta: E - A ação pode ser vista clicando no botão Iniciar do Windows, ou através do 
menu arquivo em muitas aplicações. 
 
25) Entre os artefatos do Windows a seguir, indique aquele que não se trata de uma fonte de 
informação volátil. 
a) Informação de rede (network information). d) Drives mapeados. 
b) Processos de memória. e) Metadados. 
c) Processos em andamento. 
Resposta: E - Os metadados são informações registradas em alguns arquivos, como 
documentos do Word, imagens JPG, portanto, informações provenientes de unidades de 
armazenamento não voláteis, como os discos rígidos. 
 
26) Existem dois tipos de aquisição de dados, quais são? 
a) Verificação de Redundância Cíclica e aquisições ao vivo (live). 
b) Secure Hash Algorithm e Message Digest 5. 
c) Aquisições estáticas e aquisições ao vivo (live). 
d) Expert Witness e EnCase. 
e) Aquisições estáticas e Verificação de Redundância Cíclica. 
Resposta: C - Os processos e os requisitos de integridade de dados para aquisições estáticas e 
ao vivo são os mesmos. A única desvantagem com aquisições ao vivo é não permitir executar 
processos repetitivos, que são fundamentais para a coleta de evidências digitais. Com 
aquisições estáticas, se preservada a mídia original, fazer uma segunda aquisição estática 
deve produzir os mesmos resultados. O objetivo deve ser o de manter os dados no disco 
original não alterado, não importa quantas vezes uma aquisição for feita. 
 
27) Entre as afirmativas a seguir, indique a incorreta. 
a) O ponto mais fraco de qualquer investigação digital é a integridade dos dados que você 
coleta, de modo que a validação é o aspecto mais crítico de todo o processo. 
b) Saber a quantidade de dados existentes no dispositivo de armazenagem a ser periciado 
não faz diferença para a criação da imagem forense. 
c) Para a computação forense, a atividade de aquisição de dados representa a fase de coleta 
de evidências digitais de uma mídia eletrônica. 
d) O processo de aquisição de dados deve ser registrado com notas, formulários e até mesmo 
vídeos para garantir a validade da evidência. 
e) Para se garantir a integridade das evidências existentes em um pendrive, utilizando-se o 
Windows, devem-se realizar alterações no registro do sistema para que o drive USB seja 
apenas para leitura, bloqueando a escrita. 
Resposta: B - Como as unidades de armazenamento possuem tamanhos variados e, com o 
avanço tecnológico, passam a ter capacidade cada vez maiores, antes de se fazer a aquisição 
das evidências, deve se fazer uma verificação da quantidade de dados que deverãoser coletados, garantindo que a imagem forense irá comportar os mesmos dados da fonte 
das evidências. 
 
28) De acordo com as ferramentas forenses, em que tipo de mídia você pode armazenar o seu 
kit: 
a) CDs, DVDs, USB Drives. c) Kaaza. e) Disco rígido. 
b) Emule. d) NuDetective. 
Resposta: A - Tendo em vista que a computação forense abrange vários tipos de sistemas 
operacionais, seria de ótima escolha optar por uma mídia que pudesse ser acessada por 
múltiplas plataformas e tivesse proteção contra gravação e escrita. Desses destacam-se os 
CDs e DVDs. 
 
29) Entre as afirmativas a seguir, indique a incorreta. 
a) Quando se vai restaurar uma imagem forense, obtida de um disco rígido, se faz necessário 
realizar uma limpeza a nível de bytes (wipe disk) do disco de destino. 
b) Arquivos deletados, na verdade, são meramente marcados para deleção e não apagados 
fisicamente do disco. 
c) A maior quantidade de arquivos em um disco rígido é reconhecidamente formada de 
arquivos do próprio sistema operacional, não tendo valor probativo como evidência. 
d) As imagens forenses podem ser montadas em máquinas virtuais. 
e) Os processos do sistema e as atividades dos dispositivos de drivers não são recuperáveis 
no sistema do Windows. 
Resposta: E - Os processos do sistema e as atividades dos dispositivos de drivers são 
registradas no log do sistema, podendo conter evidências e serem coletadas. 
 
30) No passado, havia apenas uma maneira prática de copiar dados para efeitos de prova, 
preservação e análise. Examinadores realizavam uma cópia bit a bit de um disco para um outro 
disco do mesmo tamanho ou maior. Como uma maneira prática para preservar evidências 
digitais, fornecedores (e alguns utilitários do sistema operacional, como o Linux comando / 
UNIX dd) tornaram possível a escrita de dados em fluxo de bits para arquivos. Essa técnica de 
cópia cria arquivos planos sequenciais simples de um drive suspeito ou de um conjunto de 
dados. A saída desses arquivos é conhecida como? 
a) Formato RAW. c) Formato bit a bit. e) Formato Proprietário. 
b) Formato Encase. d) Formato RAM. 
Resposta: A - As vantagens do formato RAW são as transferências de dados mais rápidas e a 
capacidade de ignorar pequenos erros de leitura de dados na unidade de origem. Além disso, 
a maioria das ferramentas de computação forense podem ler o formato RAW, tornando-se 
um formato universal de aquisição para a maioria das ferramentas. 
 
31) : Formatos proprietários normalmente oferecem vários recursos que complementam a 
ferramenta de análise do fornecedor, tais como: 
a) A capacidade de segregar metadados para o arquivo de imagem, como a data e hora de 
aquisição. 
b) A capacidade de integrar uma imagem em arquivos menores segmentados para fins de 
arquivamento, tal como em CDs ou DVDs, com verificações de integridade de dados integrados 
em cada segmento. 
c) A opção para comprimir ou não compactar arquivos de imagem de uma unidade suspeito, 
poupando espaço na unidade de destino. 
d) A opção para comprimir e não compactar arquivos de imagem de uma unidade suspeito, 
sacrificando espaço na unidade de destino. 
e) Realizam uma cópia bit a bit de um disco para um outro disco do mesmo tamanho ou maior. 
Resposta: C - A maioria das ferramentas de computação forense comerciais têm seus 
próprios formatos para coleta de evidências digitais. Formatos proprietários normalmente 
oferecem vários recursos que complementam a ferramenta de análise do fornecedor, tais 
como as seguintes: 
- A opção para comprimir ou não compactar arquivos de imagem de uma unidade suspeito, 
poupando espaço na unidade de destino; 
- A capacidade de dividir uma imagem em arquivos menores segmentados para fins de 
arquivamento, como em CDs ou DVDs, com verificações de integridade de dados integrados 
em cada segmento; 
- A capacidade de integrar metadados para o arquivo de imagem, como a data e hora de 
aquisição, o valor de hash (para a autoautenticação) do disco original ou mídia, investigador 
ou nome do examinador, e comentários ou detalhes de casos. 
 
 
32) Uma grande desvantagem de aquisições em formato proprietário é: 
a) A opção para comprimir ou não compactar arquivos de imagem de uma unidade suspeita, 
poupando espaço na unidade de destino. 
b) A incapacidade para partilhar uma imagem gerada entre ferramentas de análise de 
diferentes fornecedores. 
c) A capacidade de integrar metadados para o arquivo de imagem, como a data e hora de 
aquisição, o valor de hash (para a autoautenticação) do disco original ou mídia, investigador 
ou nome do examinador, e comentários ou detalhes de casos. 
d) A capacidade de dividir uma imagem em arquivos menores segmentados para fins de 
arquivamento, como em CDs ou DVDs, com verificações de integridade de dados integrados 
em cada segmento. 
e) A capacidade para partilhar uma imagem gerada entre ferramentas de análise de diferentes 
fornecedores. 
Resposta: C - De todos os formatos proprietários para aquisição de imagem, o formato 
Expert Witness é atualmente o padrão não oficial. Esse formato, o padrão da 
empresa Guidance Software EnCase, produz dois arquivos de imagem comprimidos e não 
comprimidos. Esses arquivos (ou volumes) criam a imagem forense com uma extensão 
com “.E01” e incrementando o número para cada segmento adicional ao volume de 
imagem.