Baixe o app para aproveitar ainda mais
Prévia do material em texto
AS Geral Iniciado: 29 ago em 0:44 Instruções do teste 0,5 ptsPergunta 1 Verdadeira, pois o juiz deve solicitar a análise de evidências no final da arguição de testemunhas para depois comparar com sua sentença. Falsa, pois o juiz não é a autoridade que convoca a atuação do perito forense, que deve ser feita pelo notário local, único com essa atribuição/autoridade. Falsa, pois o juiz não pode solicitar a comparação, tampouco a ação de um mesmo perito, em razão de sigilo imposto entre casos distintos e por impedimento regulado por requisito descrito no Código de Processo Civil. Verdadeira, pois o juiz tem a liberdade de escolha do perito. Também porque pode analisar casos diferentes que compartilham do mesmo provedor de Internet, por exemplo, como infraestrutura de TI. Falsa, pois o juiz não pode solicitar a entrada de um perito no processo de instrução, sem antes obter a autorização do STF. Analisando a afirmação acerca da atividade de “solicitação de atuação do perito forense computacional” a seguir, assinale a alternativa que a classifica e descreve como V (verdadeira) ou F (falsa), em relação à corretude da afirmação: Avaliando casos separados, mas atrelados pelo mesmo espaço de tempo (data) e local de ocorrência dos eventos, um juiz chama um perito, escolhendo entre os disponíveis no cadastro do fórum local, e solicita um parecer comparando as evidências. 0,5 ptsPergunta 2 Preservação. Desde o início do trabalho do perito forense computacional, em uma investigação de um caso envolvendo incidente de segurança da informação, a principal preocupação para que a prova tenha validade e integridade, e seja aceita como instrução para um processo em juízo, está relacionada à fase/atividade de: Examinação. Laudo. Coerção. Identificação. 0,5 ptsPergunta 3 Comprometimento ou ameaça à operação do negócio. Falha na conexão de Internet para o negócio. Log em ativo na rede corporativa. Porta do servidor desabilitada na rede corporativa. Ataque na rede corporativa. Em um cenário de ataque à infraestrutura corporativa de TI, um dado ativo foi atingido, diminuindo sua capacidade de serviços e o SLA prometido ao cliente que faz uso desse recurso. Há um evento de segurança gerado pelo monitoramento de ativos. Para considerarmos que houve um incidente de segurança da informação, no entanto, é necessário que este evento represente: 0,5 ptsPergunta 4 Análise de impacto e recuperação do ativo comprometido pelo incidente. Atividade de avaliação inicial e definição do profissional/equipe adequada para a resposta. Atividades de documentação e capacitação do time de respostas a incidentes. Diferentemente da versão simplificada do fluxo de resposta a incidente proposta pelo NIST, a ISO 27035 (2016) propõe cinco processos principais. Descreva a alternativa que descreve corretamente o primeiro processo de resposta, chamado “Preparação”: Investigação forense, iniciando-se pela coleta de evidências locais. Atividade de contenção do incidente e análise de triagem. 0,5 ptsPergunta 5 Controle de Malware Crachás Controles prediais Controle de Piazza Gradis A política de segurança de informação está no âmago do processo de resposta a incidentes, pois nela, encontram-se os controles que são violados em caso de incidente de segurança da informação. Observando os controles de segurança física, comunicações e controle de acesso, assinale a alternativa que descreve ou exemplifica controles do tipo lógico: 0,5 ptsPergunta 6 memória virtual. memória ROM. memória RAM. stack. gloss. Utilizado em sistemas operacionais para aumentar a flexibilidade e uso compartilhado do recurso escasso de memória RAM, este recurso pode ser útil para que o perito encontre vestígios de uso de um programa ou mesmo os dados acessados por ele enquanto estava em uso recente, já que os dados poderão ser encontrados em um espaço reservado do disco. Chamamos esse local ou tecnologia de 0,5 ptsPergunta 7 OOV. prova material. controle de Piazza. cadeia de custódia. controle de manipulações. Para a preservação da evidência e para que ela seja aceita em um caso em juízo, é importante que possamos comprovar onde a evidência esteve e quais foram os atores que realizaram manipulações, durante todo o ciclo de vida dessa evidência. Chamamos esse controle de 0,5 ptsPergunta 8 SNMP. RAW. ZIP. memória volátil. CMIT. Incidentes de segurança da informação demandam atividade de investigação de um perito forense, normalmente quando os ativos envolvidos estão relacionados a um ilícito. Nesse sentido, especialmente em casos que precisem de cópia dos arquivos em disco (HD ou SD, por exemplo), o perito deve, preferencialmente, escolher cópias do tipo 0,5 ptsPergunta 9 e aplicar algoritmos de HASH sobre o conteúdo extraído, gerando um código para conferência posterior. e descrever, de forma não técnica, os achados, de forma que seja possível a compreensão do laudo para um leigo em TI. que realizará a cópia seletiva, de forma conjunta, com o perito. munido de autorização formal (mandado de busca, por exemplo). e coletar todas as evidências relacionadas ao objeto, de forma a ligar o incidente aos artefatos colhidos, diretamente. Ao realizar uma extração de evidência, um perito forense computacional deve tomar uma série de cuidados para preservá-la, de modo que seja aceita pelo juiz como parte das provas materiais na instrução de um caso. Uma das 5 (cinco) propriedades que a evidência deve conter para que seja aceita diz respeito à sua confiabilidade. Para conferir essa propriedade à evidência, um processo comum realizado pelo perito é efetuar a extração acompanhado de um notário, com fé pública, 0,5 ptsPergunta 10 Routing table. Cache e registradores. Process table. HDs e SDs. Memória RAM. O termo volatilidade, na ótica do perito forense computacional, diz respeito ao tempo em que as evidências ficarão “disponíveis” para coleta até que sejam perdidas. Na maioria das vezes, isso ocorre pois os dados são sobrescritos. Alguns ativos computacionais possuem mais volatilidade do que outros, pois seus recursos de armazenamento são menores. Assinale a alternativa que apresenta recursos computacionais com alta volatilidade e que, portanto, demandariam rapidez em sua coleta. 0,5 ptsPergunta 11 SysVol. Memória RAM. SysShare. MemVol. Page table. Ao realizar uma extração de evidência, para a observação de memória, uma parte dos dados pode não estar disponível, caso o sistema operacional (SO) use memória virtual. Nesta situação, o perito deve realizar a coleta dos dados em disco e relacionar os dados no espaço destinado ao armazenamento da memória virtual com referência/controle fornecido por 0,5 ptsPergunta 12 Autor, suspeito e mediador. Vítima, gateway e atacante. Autor, coautor e cúmplice. Vítima, força policial e investigado. Ativa, passiva ou externa. Analisando a atividade de um perito forense computacional em contribuição a uma investigação criminal, a atividade inicial de definição de atores participantes do incidente resulta nas seguintes diferenciações de participação: 0,5 ptsPergunta 13 Para a preservação da evidência e para que ela seja aceita em um caso em juízo, é importante que possamos comprovar onde a evidência esteve e quais foram os Controle de manipulações. Cadeia de custódia. OOV. Controle de Piazza. Prova material. atores que realizaram manipulações durante todo o ciclo de vida desta evidência. Chamamos esse controle de 0,5 ptsPergunta 14 tpscan. cranktime –t. psxview. routing. certutil. Ao realizar uma análise forense observando um dump de memória extraído no processo de coleta de evidência digital em que o objetivo é comprovar em qual data-hora um determinado programa foi encerrado à época, um perito usando o framework volatility usaria o comando 0,5 ptsPergunta 15 estabelecer uma acusação formal contra o acusado, com base no resultado da perícia no disco do computador investigado. comprovar ou refutar uma tese estabelecida na linha de investigação do caso. Com relaçãoà atividade de um perito forense computacional em contribuição a uma investigação criminal, é correto afirmar que o objetivo da coleta de evidências é exportar dados em disco para comprovar o uso de programas proibidos. exportar dados em memória (dump) para comprovar o uso de programas proibidos. estabelecer uma ligação entre o PID e PPID, vista na resposta da análise do programa volatility. 0,5 ptsPergunta 16 pslist mampage malwares dd if=<in> of=<off> pxvs Ao realizar um dump de memória de um sistema operacional Windows XP e investigar a evidência por meio da execução do comando malfind do framework Volatility, o perito forense computacional deseja, basicamente obter informações de: 0,5 ptsPergunta 17 Garantir que os relatórios (laudos do perito) sejam enviados apenas ao autorizado na cadeia hierárquica estabelecida Garantir a integridade da evidência, identificando cadeia de HASH usado proteção da mesma Garantir que somente o perito designado tenha acesso à evidência até que seja entregue como prova anexada ao caso em investigação Garantia de sigilo no processamento da evidência Ao solicitar o trabalho do perito forense computacional, usando, por exemplo, o formulário padrão utilizado pelo departamento de justiça norte-americano (NCJ 199408, 2004), ilustrado na unidade, um dos campos de preenchimento pede para que o perito anexe os logs de cadeia de custódia. A intenção desse item do formulário, no contexto da investigação em curso, é: Garantir a validade da evidência, identificando em todo o ciclo de vida da mesma, onde e com quem esteve 0,5 ptsPergunta 18 Identificar processos de navegação de pastas realizados no computador investigado Identificar o número de DLLs do tipo grep no SO Identificar processos de navegação na Internet realizados com o browser default no computador investigado Explorar os processos de grep realizados no computador investigado Explorar a lista ordenada de processos grep realizados no computador investigado Ao realizar um dump de memória de um sistema operacional Windows 7 e investigar a evidência por meio da execução do comando pslist | grep “iexplore” do framework Volatility, o perito forense computacional deseja, basicamente: 0,5 ptsPergunta 19 Obter informações armazenadas em memória acerca de atividades de login do usuário, realizadas no computador investigado Obter informações armazenadas em disco acerca de uso da rede no computador investigado Obter informações armazenadas em disco acerca de malwares no computador investigado Obter informações armazenadas em disco acerca de atividades de “navegação” em pastas e arquivos realizadas no computador investigado Obter informações armazenadas em memória acerca de malwares no computador investigado Ao realizar um dump de memória de um sistema operacional Windows e investigar a evidência por meio da execução do comando netscan do framework Volatility, o perito forense computacional deseja, basicamente: Salvo em 2:37 0,5 ptsPergunta 20 Objetos em memória mapeados para o registrador default ix64B Obter informações armazenadas em memória acerca de atividades de “navegação” em pastas e arquivos realizados no computador investigado. Obter informações armazenadas em memória acerca de malwares no computador investigado. Obter informações armazenadas em disco acerca de uso da rede no computador investigado. Obter informações armazenadas em memória do local da paginação realizada para memória virtual em disco. Ao realizar um dump de memória de um sistema operacional Windows e investigar a evidência por meio da execução do comando memmap do framework Volatility, o perito forense computacional deseja, basicamente: Enviar teste
Compartilhar