AS Geral - PERÍCIA FORENSE COMPUTACIONAL

Prévia do material em texto

13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 1/21
AS Geral
Entrega Sem prazo Pontos 10 Perguntas 20
Limite de tempo Nenhum Tentativas permitidas Sem limite
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 59 minutos 9,5 de 10
 As respostas corretas estão ocultas.
Pontuação desta tentativa: 9,5 de 10
Enviado 13 abr em 16:31
Esta tentativa levou 59 minutos.
Fazer o teste novamente
0,5 / 0,5 ptsPergunta 1
Todos os incidentes de segurança devem ser respondidos. Contudo,
nem todos o são pela equipe que fez a descoberta do incidente, uma
vez que pode ocorrer um desalinhamento entre o incidente e o time de
resposta (CSIRT), no que diz respeito à sua capacidade técnica e/ou
escopo percebidos no momento da triagem do incidente. Quando isso
ocorre, é necessário que o CSIRT faça o repasse desse incidente para
que ele seja respondido por um time com capacitação e escopo mais
abrangentes. Assinale a alternativa que contempla o formato de envio
desse repasse, obedecendo à recomendação proposta pela ENISA:
 TCP 
 Server-side 
 Router-based 
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682/history?version=1
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682/take?user_id=248417
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 2/21
 IODEF 
 GPO 
O XML IODEF favorece a automação de envio de
mensagens entre CSIRTs, e possibilita a adição de
serviços de segurança na comunicação, como o
sigilo por meio da criptografia e garantia de
integridade e não repúdio, por meio de certificado
digital e assinatura desse XML.
0,5 / 0,5 ptsPergunta 2
Analisando a afirmação acerca da atividade de “solicitação de atuação
do perito forense computacional” a seguir, assinale a alternativa que a
classifica e descreve como V (verdadeira) ou F (falsa), em relação à
corretude da afirmação: 
Avaliando casos separados, mas atrelados pelo mesmo espaço de
tempo (data) e local de ocorrência dos eventos, um juiz chama um
perito, escolhendo entre os disponíveis no cadastro do fórum local, e
solicita um parecer comparando as evidências.
 
Verdadeira, pois o juiz deve solicitar a análise de evidências no final da
arguição de testemunhas para depois comparar com sua sentença.
 
Falsa, pois o juiz não pode solicitar a comparação, tampouco a ação de
um mesmo perito, em razão de sigilo imposto entre casos distintos e
por impedimento regulado por requisito descrito no Código de Processo
Civil.
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 3/21
 
Falsa, pois o juiz não é a autoridade que convoca a atuação do perito
forense, que deve ser feita pelo notário local, único com essa
atribuição/autoridade.
 
Falsa, pois o juiz não pode solicitar a entrada de um perito no processo
de instrução, sem antes obter a autorização do STF.
 
Verdadeira, pois o juiz tem a liberdade de escolha do perito. Também
porque pode analisar casos diferentes que compartilham do mesmo
provedor de Internet, por exemplo, como infraestrutura de TI.
Segundo a determinação contida atualmente no
Código de Processo Civil (CPC), para contribuir
com a isenção e diminuição de viés, um juiz deve
selecionar diferentes profissionais em suas
solicitações, o que acaba contribuindo para uma
certa “rotatividade” dos profissionais atuantes e,
também, abre portas para que novos peritos se
inscrevam nesses bancos para ofertarem seus
serviços.
0,5 / 0,5 ptsPergunta 3
De uma foma geral, a resposta aos incidentes e, em alguns casos, à
investigação do perito forense computacional, coletando evidências
desse incidente, depende, inicialmente, de um processo de
monitoração de ativos que aponte a ocorrência desse incidente. Dos
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 4/21
ativos listados abaixo, aponte o que demonstra maior dificuldade para
esse processo de monitoramento:
 Ativos de informação. 
 Ativos de serviço. 
 Ativos intangíveis. 
 Ativos de software/sistema. 
 Ativos abstratos. 
Exemplos de ativos neste ambiente corporativo:
• Ativos digitais (conteúdo textual, imagens e multimídia); 
• Ativos de informação; 
• Ativos de software/sistema; 
• Ativos físicos (equipamentos); 
• Ativos de serviço (eletricidade, comunicação,
refrigeração, entre outros); 
• Ativos humanos (colaboradores, parceiros, entre outros); 
• Ativos intangíveis (imagem e a reputação da empresa). 
Destes, ativos intangíveis são difíceis de serem
monitorados em relação à ocorrência de incidentes.
0,5 / 0,5 ptsPergunta 4
Incidentes de segurança da informação demandam atividade de
investigação de um perito forense, normalmente quando os ativos
envolvidos estão relacionados a um ilícito. Neste sentido,
especialmente em ambiente corporativo, é correto afirmar que alguns
ativos de informação despertam mais interesse de atacantes e,
portanto, serão alvo de investigação mais frequentes do perito porque:
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 5/21
 
Estão relacionados aos logs de eventos corporativos mais recentes. 
 São públicos e facilmente acessíveis. 
 São protegidos por criptografia e Jitter. 
 Possuem alto valor probatório. 
 Possuem ligação com processos e sistemas corporativos internos. 
A informação contém valor, pois está integrada
com os processos, pessoas e tecnologias na
corporação. A informação é um ativo que, por sua
importância para o negócio, tem um valor para a
organização e consequentemente necessita ser
adequadamente protegida.
0,5 / 0,5 ptsPergunta 5
Ao avaliar um incidente para a coleta de evidências computacionais,
um perito analisa a infraestrutura de rede envolvida e estabelece os
ativos para obter informações de eventos e alertas ocorridos desde o
momento imediatamente anterior ao incidente até a percepção de
paradas de serviço ou evento principal reportado. Neste sentido,
assinale a alternativa que descreve o formato de envio desses eventos
e alertas, internacionalmente adotado, quando o objetivo é centralizar
essas informações em um repositório:
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 6/21
 MITM 
 Syslog 
 Trail 
 IODEF 
 SaaS 
Uma boa prática de mercado é padronizar o
conteúdo dos logs produzidos pelos equipamentos
da rede (Ex. Syslog), centralizar o envio para um
repositório único, facilitando a análise, além de
sincronizar todos os equipamentos (Ex. Usando
fonte de Network Time Protocol – NTP externa no
sincronismo dos relógios de todos os ativos de
rede).
0,5 / 0,5 ptsPergunta 6
Nem sempre é possível a obtenção de uma evidência sem viés,
interferências e contaminação. Quando realizamos a cópia do tipo
“Imagem Lógica”, as propriedades de MAC Times podem ser
alteradas, impedindo a correta interpretação pelo perito. Assinale a
alternativa que descreve ou exemplifica essa coleta de evidência.
 Cópia do tipo sync. 
 Cópia de arquivos de page file. 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 7/21
 Cópia bit-a-bit. 
 Cópia de arquivos de diretórios. 
 Cópia mangle. 
Dependendo do SO, o MAC Times é referente à
propriedade ctime, como ocorre, por exemplo, na
maioria das distribuições Linux.
0,5 / 0,5 ptsPergunta 7
Exemplificando a atividade de um perito forense computacional em
contribuição a uma investigação criminal envolvendo invasão de um
site, é CORRETO afirmar acerca do processo de coleta de evidência
típico que o perito deve coletar também
 EMEI e memória heap do roteador remoto. 
 o perfil psicológico do suspeito sob acusação. 
 
informações de conexão com logs do roteador de borda e/ou firewall e
logs do servidor Web envolvido.EMEI e memória heap do roteador local. 
 testemunho dos seguranças do andar do data center. 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 8/21
Em casos de perícia envolvendo invasão de
servidor Web, é importante reconstruir, com a
maior completude possível, a linha temporal
envolvendo as conexões de rede até a chegada ao
ativo alvo.
0,5 / 0,5 ptsPergunta 8
Ao realizar uma extração de evidência, um perito forense
computacional deve tomar uma série de cuidados para preservá-la, de
modo que seja aceita pelo juiz como parte das provas materiais na
instrução de um caso. Uma das 5 (cinco) propriedades que a evidência
deve conter para que seja aceita diz respeito à sua confiabilidade.
Para conferir essa propriedade à evidência, um processo comum
realizado pelo perito é efetuar a extração acompanhado de um notário,
com fé pública,
 
e coletar todas as evidências relacionadas ao objeto, de forma a ligar o
incidente aos artefatos colhidos, diretamente.
 
e descrever, de forma não técnica, os achados, de forma que seja
possível a compreensão do laudo para um leigo em TI.
 que realizará a cópia seletiva, de forma conjunta, com o perito. 
 munido de autorização formal (mandado de busca, por exemplo). 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 9/21
 
e aplicar algoritmos de HASH sobre o conteúdo extraído, gerando um
código para conferência posterior.
Controles de integridade por meio de HASH são
comumente usados para comprovação de
confiabilidade que resiste ao tempo (intervalo entre
a extração e apresentação ou conferência da
prova).
0,5 / 0,5 ptsPergunta 9
Incidentes de segurança da informação demandam atividade de
investigação de um perito forense, normalmente quando os ativos
envolvidos estão relacionados a um ilícito. Nesse sentido,
especialmente em casos que precisem de cópia dos arquivos em disco
(HD ou SD, por exemplo), o perito deve, preferencialmente, escolher
cópias do tipo
 CMIT. 
 memória volátil. 
 RAW. 
 ZIP. 
 SNMP. 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 10/21
A informação completa “bit-a-bit” disponível em
cópias do tipo RAW favorece menor contaminação
da evidência.
0,5 / 0,5 ptsPergunta 10
Diferentemente da evidência digital original, esta evidência não
contempla os itens físicos, pois não foi possível recolher os
equipamentos envolvidos para exame em laboratório. De posse da
cópia, estamos, então, com uma evidência do tipo
 evidência digital interpolada. 
 evidência digital duplicada. 
 evidência digital completa. 
 evidência digital virtual. 
 evidência sem registro. 
Evidência digital duplicada: uma réplica exata da
evidência digital original (normalmente efetuada
pelo perito no local da coleta).
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 11/21
0,5 / 0,5 ptsPergunta 11
Com relação à atividade de um perito forense computacional em
contribuição a uma investigação criminal, é correto afirmar que o
objetivo da coleta de evidências é
 
exportar dados em disco para comprovar o uso de programas
proibidos.
 
comprovar ou refutar uma tese estabelecida na linha de investigação
do caso.
 
estabelecer uma ligação entre o PID e PPID, vista na resposta da
análise do programa volatility.
 
estabelecer uma acusação formal contra o acusado, com base no
resultado da perícia no disco do computador investigado.
 
exportar dados em memória (dump) para comprovar o uso de
programas proibidos.
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 12/21
É função principal, estabelecer provas materiais
para serem anexadas ao caso e permitir a
comprovação, ou não, de tese conduzida na
investigação.
0,5 / 0,5 ptsPergunta 12
Em casos de investigação envolvendo a necessidade de perícia
computacional em data centers, a impossibilidade de retirada de itens
físicos (pois estão relacionados normalmente a múltiplos usuários, não
relacionados ao ilícito em questão), torna inviável a coleta de qual tipo
de evidência digital?
 Objetos em memória. 
 Evidência digital duplicada. 
 Itens físicos. 
 Evidência digital coexistente. 
 Evidência digital original. 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 13/21
Sem a possibilidade de obtenção dos itens físicos
relacionados, não é possível a obtenção do cenário
original. Resta ao perito realizar uma cópia.
Evidência digital original: Objetos físicos que
guardavam as informações (dados) relacionadas
ao incidente no momento da coleta (Ex.:
Servidores, computadores, etc.).
0,5 / 0,5 ptsPergunta 13
Para a preservação da evidência e para que ela seja aceita em um
caso em juízo, é importante que possamos comprovar onde a
evidência esteve e quais foram os atores que realizaram manipulações
durante todo o ciclo de vida desta evidência. Chamamos esse controle
de
 Controle de manipulações. 
 Cadeia de custódia. 
 Prova material. 
 Controle de Piazza. 
 OOV. 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 14/21
Caso não comprovemos o controle sobre o ciclo de
vida de uma evidência desde sua extração do ativo
computacional sob investigação, esta prova é
passível de rejeição pelo juiz. É importante
comprovarmos o controle de registro de todas as
ações e manipulações em uma evidência, inclusive
informando o ator ou atores que as executaram.
Chamamos esse controle de cadeia de custódia.
0 / 0,5 ptsPergunta 14IncorretaIncorreta
Ao realizar uma extração de evidência, para a observação de
memória, uma parte dos dados pode não estar disponível, caso o
sistema operacional (SO) use memória virtual. Nesta situação, o perito
deve realizar a coleta dos dados em disco e relacionar os dados no
espaço destinado ao armazenamento da memória virtual com
referência/controle fornecido por
 MemVol. 
 Memória RAM. 
 Page table. 
 SysShare. 
 SysVol. 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 15/21
Os controles relacionados à organização dos
dados guardados em disco, correspondentes à
memória virtual, são: Page files e Page table.
0,5 / 0,5 ptsPergunta 15
Analisando a atividade de um perito forense computacional em
contribuição a uma investigação criminal, a atividade inicial de
definição de atores participantes do incidente resulta nas seguintes
diferenciações de participação:
 Ativa, passiva ou externa. 
 Vítima, força policial e investigado. 
 Autor, suspeito e mediador. 
 Autor, coautor e cúmplice. 
 Vítima, gateway e atacante. 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 16/21
De uma maneira geral, a tarefa de participação dos atores pode
ser executada diferenciando-os da seguinte forma:
• Vítima(s)- Indícios computacionais apontam que dados foram
subtraídos, deturpados ou inseridos por terceiro (atacante). O
ativo computacional sofreu um ataque e foi alvo cibernético de
ação deliberada de atacante(s). 
• Gateway(s)- Indícios computacionais apontam que o ativo foi
comprometido, mas não se caracteriza como alvo. O ativo
computacional serviu de ponte para que a vítima fosse atingida
pelo(s) atacante(s). 
• Atacante(s)- Indícios computacionais apontam que o ativo
encaminhou ou controlou remotamente artefatos digitais
capazes de realizar ações de subtração, deturpação ou
inserção de dados em ativo computacional de terceiro (vítima).
0,5 / 0,5 ptsPergunta 16
Ao realizar um dump de memória de um sistema operacional Windows
e investigar a evidência por meio da execução do comando shellbags
do framework Volatility, o perito forense computacionaldeseja,
basicamente:
 
Obter informações armazenadas em memória acerca de malwares no
computador investigado.
 
Obter informações armazenadas em disco acerca de uso da rede no
computador investigado.
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 17/21
 
Obter informações armazenadas em disco acerca de atividades de
“navegação” em pastas e arquivos realizados no computador
investigado.
 
Obter informações armazenadas em disco acerca de malwares no
computador investigado.
 
Obter informações armazenadas em memória acerca de atividades de
“navegação” em pastas e arquivos realizados no computador
investigado.
De uma maneira geral, o uso do comando
shellbags resulta na visualização de histórico de
navegação nas pastas e diretórios do sistema
operacional Windows. Também é possível
visualizar configurações de exibição e ordem de
acesso a um arquivo ou pasta, por exemplo
(pesquisa, navegação direta, ponto de origem etc).
0,5 / 0,5 ptsPergunta 17
Ao realizar um dump de memória de um sistema operacional Windows
e investigar a evidência por meio da execução do comando netscan do
framework Volatility, o perito forense computacional deseja,
basicamente:
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 18/21
 
Obter informações armazenadas em memória acerca de atividades de
login do usuário, realizadas no computador investigado
 
Obter informações armazenadas em disco acerca de uso da rede no
computador investigado
 
Obter informações armazenadas em disco acerca de malwares no
computador investigado
 
Obter informações armazenadas em memória acerca de malwares no
computador investigado
 
Obter informações armazenadas em disco acerca de atividades de
“navegação” em pastas e arquivos realizadas no computador
investigado
O comando resulta na visualização de conexões
ativas na rede.
0,5 / 0,5 ptsPergunta 18
Segundo o fluxo geral de atividades do perito, descrito pelo
departamento de justiça norte-americano, usado como referência em
vários outros países e citado em nosso material da unidade (NCJ
199408, 2004), os quatro passos da investigação são corretamente
descritos pela alternativa:
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 19/21
 
1) Coleta da cadeia de custódia; 2) Extração das evidências; 3) Prova
continuada; e 4) Documentação e reporte (laudo) dos achados
 
1) Autorização do juiz; 2) Identificação das evidências; 3) Dump de
memória e de disco; e 4) Exame Volatility
 
1) Avaliação do local; 2) Extração das evidências; 3) Examinação das
evidências; e 4) Documentação e reporte (laudo) dos achados
 
1) Autorização do juiz; 2) Avaliação do local; 3) Prova continuada; e 4)
Acusação formal
 
1) Avaliação do local; 2) Coleta da cadeia de custódia; 3) Prova
continuada; e 4) Exame Volatility
Os passos genéricos descritos pelo departamento
de justiça norte-americano são: 1) Avaliação do
local; 2) Extração das evidências; 3) Examinação
das evidências; e 4) Documentação e reporte
(laudo) dos achados.
0,5 / 0,5 ptsPergunta 19
Ao realizar um dump de memória de um sistema operacional Windows
XP e investigar a evidência por meio da execução do comando malfind
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 20/21
do framework Volatility, o perito forense computacional deseja,
basicamente obter informações de:
 dd if=<in> of=<off>
 pxvs 
 malwares 
 pslist 
 mampage 
A execução do framework volatility, por meio do
comando “malfind”, possibilita a verificação de
assinaturas que podem permitir a identificação da
presença de infecção por malware no computador
investigado.
0,5 / 0,5 ptsPergunta 20
Ao realizar um dump de memória de um sistema operacional Windows
7 e investigar a evidência por meio da execução do comando yarascan
– Y “Cache” do framework Volatility, o perito forense computacional
deseja, basicamente:
 Verificação da compatibilidade do profile 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/13471/quizzes/46682 21/21
 Validação do header do dump de memória 
 
Verificação de rastreabilidade do DTB contidas no cache da memória
virtual
 Validação do resultado KDBG 
 
Verificação de resquícios de informação de uso de internet contidas no
cache do navegador
O comando é utilizado para visualização de cache
do navegador.
Pontuação do teste: 9,5 de 10