Pericia Forense Pos Estacio

Prévia do material em texto

AS Geral
Iniciado: 29 ago em 0:44
Instruções do teste
0,5 ptsPergunta 1
Verdadeira, pois o juiz deve solicitar a análise de evidências no final da arguição de
testemunhas para depois comparar com sua sentença.
Falsa, pois o juiz não é a autoridade que convoca a atuação do perito forense, que
deve ser feita pelo notário local, único com essa atribuição/autoridade.
Falsa, pois o juiz não pode solicitar a comparação, tampouco a ação de um mesmo
perito, em razão de sigilo imposto entre casos distintos e por impedimento regulado por
requisito descrito no Código de Processo Civil.
Verdadeira, pois o juiz tem a liberdade de escolha do perito. Também porque pode
analisar casos diferentes que compartilham do mesmo provedor de Internet, por
exemplo, como infraestrutura de TI.
Falsa, pois o juiz não pode solicitar a entrada de um perito no processo de instrução,
sem antes obter a autorização do STF.
Analisando a afirmação acerca da atividade de “solicitação de atuação do perito
forense computacional” a seguir, assinale a alternativa que a classifica e descreve
como V (verdadeira) ou F (falsa), em relação à corretude da afirmação:
Avaliando casos separados, mas atrelados pelo mesmo espaço de tempo (data) e
local de ocorrência dos eventos, um juiz chama um perito, escolhendo entre os
disponíveis no cadastro do fórum local, e solicita um parecer comparando as
evidências.
0,5 ptsPergunta 2
Preservação.
Desde o início do trabalho do perito forense computacional, em uma investigação
de um caso envolvendo incidente de segurança da informação, a principal
preocupação para que a prova tenha validade e integridade, e seja aceita como
instrução para um processo em juízo, está relacionada à fase/atividade de:
Examinação.
Laudo.
Coerção.
Identificação.
0,5 ptsPergunta 3
Comprometimento ou ameaça à operação do negócio.
Falha na conexão de Internet para o negócio.
Log em ativo na rede corporativa.
Porta do servidor desabilitada na rede corporativa.
Ataque na rede corporativa.
Em um cenário de ataque à infraestrutura corporativa de TI, um dado ativo foi
atingido, diminuindo sua capacidade de serviços e o SLA prometido ao cliente que
faz uso desse recurso. Há um evento de segurança gerado pelo monitoramento de
ativos. Para considerarmos que houve um incidente de segurança da informação,
no entanto, é necessário que este evento represente:
0,5 ptsPergunta 4
Análise de impacto e recuperação do ativo comprometido pelo incidente.
Atividade de avaliação inicial e definição do profissional/equipe adequada para a
resposta.
Atividades de documentação e capacitação do time de respostas a incidentes.
Diferentemente da versão simplificada do fluxo de resposta a incidente proposta
pelo NIST, a ISO 27035 (2016) propõe cinco processos principais. Descreva a
alternativa que descreve corretamente o primeiro processo de resposta, chamado
“Preparação”:
Investigação forense, iniciando-se pela coleta de evidências locais.
Atividade de contenção do incidente e análise de triagem.
0,5 ptsPergunta 5
Controle de Malware
Crachás
Controles prediais
Controle de Piazza
Gradis
A política de segurança de informação está no âmago do processo de resposta a
incidentes, pois nela, encontram-se os controles que são violados em caso de
incidente de segurança da informação. Observando os controles de segurança
física, comunicações e controle de acesso, assinale a alternativa que descreve ou
exemplifica controles do tipo lógico:
0,5 ptsPergunta 6
memória virtual.
memória ROM.
memória RAM.
stack.
gloss.
Utilizado em sistemas operacionais para aumentar a flexibilidade e uso
compartilhado do recurso escasso de memória RAM, este recurso pode ser útil
para que o perito encontre vestígios de uso de um programa ou mesmo os dados
acessados por ele enquanto estava em uso recente, já que os dados poderão ser
encontrados em um espaço reservado do disco. Chamamos esse local ou
tecnologia de
0,5 ptsPergunta 7
OOV.
prova material.
controle de Piazza.
cadeia de custódia.
controle de manipulações.
Para a preservação da evidência e para que ela seja aceita em um caso em juízo, é
importante que possamos comprovar onde a evidência esteve e quais foram os
atores que realizaram manipulações, durante todo o ciclo de vida dessa evidência.
Chamamos esse controle de
0,5 ptsPergunta 8
SNMP.
RAW.
ZIP.
memória volátil.
CMIT.
Incidentes de segurança da informação demandam atividade de investigação de
um perito forense, normalmente quando os ativos envolvidos estão relacionados a
um ilícito. Nesse sentido, especialmente em casos que precisem de cópia dos
arquivos em disco (HD ou SD, por exemplo), o perito deve, preferencialmente,
escolher cópias do tipo
0,5 ptsPergunta 9
e aplicar algoritmos de HASH sobre o conteúdo extraído, gerando um código para
conferência posterior.
e descrever, de forma não técnica, os achados, de forma que seja possível a
compreensão do laudo para um leigo em TI.
que realizará a cópia seletiva, de forma conjunta, com o perito.
munido de autorização formal (mandado de busca, por exemplo).
e coletar todas as evidências relacionadas ao objeto, de forma a ligar o incidente aos
artefatos colhidos, diretamente.
Ao realizar uma extração de evidência, um perito forense computacional deve tomar
uma série de cuidados para preservá-la, de modo que seja aceita pelo juiz como
parte das provas materiais na instrução de um caso. Uma das 5 (cinco)
propriedades que a evidência deve conter para que seja aceita diz respeito à sua
confiabilidade. Para conferir essa propriedade à evidência, um processo comum
realizado pelo perito é efetuar a extração acompanhado de um notário, com fé
pública,
0,5 ptsPergunta 10
Routing table.
Cache e registradores.
Process table.
HDs e SDs.
Memória RAM.
O termo volatilidade, na ótica do perito forense computacional, diz respeito ao
tempo em que as evidências ficarão “disponíveis” para coleta até que sejam
perdidas. Na maioria das vezes, isso ocorre pois os dados são sobrescritos.
Alguns ativos computacionais possuem mais volatilidade do que outros, pois seus
recursos de armazenamento são menores. Assinale a alternativa que apresenta
recursos computacionais com alta volatilidade e que, portanto, demandariam
rapidez em sua coleta.
0,5 ptsPergunta 11
SysVol.
Memória RAM.
SysShare.
MemVol.
Page table.
Ao realizar uma extração de evidência, para a observação de memória, uma parte
dos dados pode não estar disponível, caso o sistema operacional (SO) use
memória virtual. Nesta situação, o perito deve realizar a coleta dos dados em disco
e relacionar os dados no espaço destinado ao armazenamento da memória virtual
com referência/controle fornecido por
0,5 ptsPergunta 12
Autor, suspeito e mediador.
Vítima, gateway e atacante.
Autor, coautor e cúmplice.
Vítima, força policial e investigado.
Ativa, passiva ou externa.
Analisando a atividade de um perito forense computacional em contribuição a uma
investigação criminal, a atividade inicial de definição de atores participantes do
incidente resulta nas seguintes diferenciações de participação:
0,5 ptsPergunta 13
Para a preservação da evidência e para que ela seja aceita em um caso em juízo, é
importante que possamos comprovar onde a evidência esteve e quais foram os
Controle de manipulações.
Cadeia de custódia.
OOV.
Controle de Piazza.
Prova material.
atores que realizaram manipulações durante todo o ciclo de vida desta evidência.
Chamamos esse controle de
0,5 ptsPergunta 14
tpscan.
cranktime –t.
psxview.
routing.
certutil.
Ao realizar uma análise forense observando um dump de memória extraído no
processo de coleta de evidência digital em que o objetivo é comprovar em qual
data-hora um determinado programa foi encerrado à época, um perito usando o
framework volatility usaria o comando
0,5 ptsPergunta 15
estabelecer uma acusação formal contra o acusado, com base no resultado da perícia
no disco do computador investigado.
comprovar ou refutar uma tese estabelecida na linha de investigação do caso.
Com relaçãoà atividade de um perito forense computacional em contribuição a
uma investigação criminal, é correto afirmar que o objetivo da coleta de evidências
é
exportar dados em disco para comprovar o uso de programas proibidos.
exportar dados em memória (dump) para comprovar o uso de programas proibidos.
estabelecer uma ligação entre o PID e PPID, vista na resposta da análise do programa
volatility.
0,5 ptsPergunta 16
pslist
mampage
malwares
dd if=<in> of=<off>
pxvs
Ao realizar um dump de memória de um sistema operacional Windows XP e
investigar a evidência por meio da execução do comando malfind do framework
Volatility, o perito forense computacional deseja, basicamente obter informações de:
0,5 ptsPergunta 17
Garantir que os relatórios (laudos do perito) sejam enviados apenas ao autorizado na
cadeia hierárquica estabelecida
Garantir a integridade da evidência, identificando cadeia de HASH usado proteção da
mesma
Garantir que somente o perito designado tenha acesso à evidência até que seja
entregue como prova anexada ao caso em investigação
Garantia de sigilo no processamento da evidência
Ao solicitar o trabalho do perito forense computacional, usando, por exemplo, o
formulário padrão utilizado pelo departamento de justiça norte-americano (NCJ
199408, 2004), ilustrado na unidade, um dos campos de preenchimento pede para
que o perito anexe os logs de cadeia de custódia. A intenção desse item do
formulário, no contexto da investigação em curso, é:
Garantir a validade da evidência, identificando em todo o ciclo de vida da mesma, onde
e com quem esteve
0,5 ptsPergunta 18
Identificar processos de navegação de pastas realizados no computador investigado
Identificar o número de DLLs do tipo grep no SO
Identificar processos de navegação na Internet realizados com o browser default no
computador investigado
Explorar os processos de grep realizados no computador investigado
Explorar a lista ordenada de processos grep realizados no computador investigado
Ao realizar um dump de memória de um sistema operacional Windows 7 e
investigar a evidência por meio da execução do comando pslist | grep “iexplore” do
framework Volatility, o perito forense computacional deseja, basicamente:
0,5 ptsPergunta 19
Obter informações armazenadas em memória acerca de atividades de login do usuário,
realizadas no computador investigado
Obter informações armazenadas em disco acerca de uso da rede no computador
investigado
Obter informações armazenadas em disco acerca de malwares no computador
investigado
Obter informações armazenadas em disco acerca de atividades de “navegação” em
pastas e arquivos realizadas no computador investigado
Obter informações armazenadas em memória acerca de malwares no computador
investigado
Ao realizar um dump de memória de um sistema operacional Windows e investigar
a evidência por meio da execução do comando netscan do framework Volatility, o
perito forense computacional deseja, basicamente:
Salvo em 2:37 
0,5 ptsPergunta 20
Objetos em memória mapeados para o registrador default ix64B
Obter informações armazenadas em memória acerca de atividades de “navegação” em
pastas e arquivos realizados no computador investigado.
Obter informações armazenadas em memória acerca de malwares no computador
investigado.
Obter informações armazenadas em disco acerca de uso da rede no computador
investigado.
Obter informações armazenadas em memória do local da paginação realizada para
memória virtual em disco.
Ao realizar um dump de memória de um sistema operacional Windows e investigar
a evidência por meio da execução do comando memmap do framework Volatility, o
perito forense computacional deseja, basicamente:
Enviar teste