AS Geral_ PERÍCIA FORENSE COMPUTACIONAL

Prévia do material em texto

13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 1/23
AS Geral
Entrega Sem prazo Pontos 10 Perguntas 20
Limite de tempo Nenhum Tentativas permitidas Sem limite
Histórico de tentativas
Tentativa Tempo Pontuação
MAIS RECENTE Tentativa 1 268.284 minutos 8,5 de 10
 As respostas corretas estão ocultas.
Pontuação desta tentativa: 8,5 de 10
Enviado 13 abr em 17:08
Esta tentativa levou 268.284 minutos.
Fazer o teste novamente
0,5 / 0,5 ptsPergunta 1
De uma foma geral, a resposta aos incidentes e, em alguns casos, à
investigação do perito forense computacional, coletando evidências
desse incidente, depende, inicialmente, de um processo de monitoração
de ativos que aponte a ocorrência desse incidente. Dos ativos listados
abaixo, aponte o que demonstra maior dificuldade para esse processo de
monitoramento:
 Ativos de serviço. 
 Ativos intangíveis. 
 Ativos de software/sistema. 
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451/history?version=1
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451/take?user_id=215772
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 2/23
 Ativos abstratos. 
 Ativos de informação. 
Exemplos de ativos neste ambiente corporativo:
• Ativos digitais (conteúdo textual, imagens e multimídia); 
• Ativos de informação; 
• Ativos de software/sistema; 
• Ativos físicos (equipamentos); 
• Ativos de serviço (eletricidade, comunicação, refrigeração,
entre outros); 
• Ativos humanos (colaboradores, parceiros, entre outros); 
• Ativos intangíveis (imagem e a reputação da empresa). 
Destes, ativos intangíveis são difíceis de serem monitorados
em relação à ocorrência de incidentes.
0 / 0,5 ptsPergunta 2IncorretaIncorreta
Analisando a afirmação acerca da atividade de “solicitação de atuação do
perito forense computacional” a seguir, assinale a alternativa que a
classifica e descreve como V (verdadeira) ou F (falsa), em relação à
corretude da afirmação: 
Avaliando casos separados, mas atrelados pelo mesmo espaço de tempo
(data) e local de ocorrência dos eventos, um juiz chama um perito,
escolhendo entre os disponíveis no cadastro do fórum local, e solicita um
parecer comparando as evidências.
 
Verdadeira, pois o juiz deve solicitar a análise de evidências no final da
arguição de testemunhas para depois comparar com sua sentença.
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 3/23
 
Verdadeira, pois o juiz tem a liberdade de escolha do perito. Também
porque pode analisar casos diferentes que compartilham do mesmo
provedor de Internet, por exemplo, como infraestrutura de TI.
 
Falsa, pois o juiz não pode solicitar a entrada de um perito no processo de
instrução, sem antes obter a autorização do STF.
 
Falsa, pois o juiz não pode solicitar a comparação, tampouco a ação de
um mesmo perito, em razão de sigilo imposto entre casos distintos e por
impedimento regulado por requisito descrito no Código de Processo Civil.
 
Falsa, pois o juiz não é a autoridade que convoca a atuação do perito
forense, que deve ser feita pelo notário local, único com essa
atribuição/autoridade.
Segundo a determinação contida atualmente no
Código de Processo Civil (CPC), para contribuir com
a isenção e diminuição de viés, um juiz deve
selecionar diferentes profissionais em suas
solicitações, o que acaba contribuindo para uma certa
“rotatividade” dos profissionais atuantes e, também,
abre portas para que novos peritos se inscrevam
nesses bancos para ofertarem seus serviços.
0,5 / 0,5 ptsPergunta 3
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 4/23
Diferentemente da versão simplificada do fluxo de resposta a incidente
proposta pelo NIST, a ISO 27035 (2016) propõe cinco processos
principais. Descreva a alternativa que descreve corretamente o primeiro
processo de resposta, chamado “Preparação”:
 
Atividade de avaliação inicial e definição do profissional/equipe adequada
para a resposta.
 
Atividades de documentação e capacitação do time de respostas a
incidentes.
 Atividade de contenção do incidente e análise de triagem. 
 Investigação forense, iniciando-se pela coleta de evidências locais. 
 
Análise de impacto e recuperação do ativo comprometido pelo incidente. 
Preparação: preparação de documentação (política,
escopo, procedimentos) e capacitação do time de
respostas a incidentes.
0,5 / 0,5 ptsPergunta 4
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 5/23
Ao avaliar um incidente para a coleta de evidências computacionais, um
perito analisa a infraestrutura de rede envolvida e estabelece os ativos
para obter informações de eventos e alertas ocorridos desde o momento
imediatamente anterior ao incidente até a percepção de paradas de
serviço ou evento principal reportado. Neste sentido, assinale a
alternativa que descreve o formato de envio desses eventos e alertas,
internacionalmente adotado, quando o objetivo é centralizar essas
informações em um repositório:
 SaaS 
 Syslog 
 Trail 
 IODEF 
 MITM 
Uma boa prática de mercado é padronizar o conteúdo
dos logs produzidos pelos equipamentos da rede (Ex.
Syslog), centralizar o envio para um repositório único,
facilitando a análise, além de sincronizar todos os
equipamentos (Ex. Usando fonte de Network Time
Protocol – NTP externa no sincronismo dos relógios
de todos os ativos de rede).
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 6/23
0 / 0,5 ptsPergunta 5IncorretaIncorreta
Todos os incidentes de segurança devem ser respondidos. Contudo, nem
todos o são pela equipe que fez a descoberta do incidente, uma vez que
pode ocorrer um desalinhamento entre o incidente e o time de resposta
(CSIRT), no que diz respeito à sua capacidade técnica e/ou escopo
percebidos no momento da triagem do incidente. Quando isso ocorre, é
necessário que o CSIRT faça o repasse desse incidente para que ele
seja respondido por um time com capacitação e escopo mais
abrangentes. Assinale a alternativa que contempla o formato de envio
desse repasse, obedecendo à recomendação proposta pela ENISA:
 Router-based 
 GPO 
 Server-side 
 IODEF 
 TCP 
O XML IODEF favorece a automação de envio de
mensagens entre CSIRTs, e possibilita a adição de
serviços de segurança na comunicação, como o sigilo
por meio da criptografia e garantia de integridade e
não repúdio, por meio de certificado digital e
assinatura desse XML.
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 7/23
0,5 / 0,5 ptsPergunta 6
Incidentes de segurança da informação demandam atividade de
investigação de um perito forense, normalmente quando os ativos
envolvidos estão relacionados a um ilícito. Nesse sentido, especialmente
em casos que precisem de cópia dos arquivos em disco (HD ou SD, por
exemplo), o perito deve, preferencialmente, escolher cópias do tipo
 ZIP. 
 CMIT. 
 SNMP. 
 memória volátil. 
 RAW. 
A informação completa “bit-a-bit” disponível em
cópias do tipo RAW favorece menor contaminação da
evidência.
0,5 / 0,5 ptsPergunta 7
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 8/23
Ao realizar uma extração de evidência, um perito forense computacional
deve tomar uma série de cuidados para preservá-la, de modo que seja
aceita pelo juiz como parte das provas materiais na instrução de um
caso. Uma das 5 (cinco) propriedades que a evidência deve conter para
que seja aceita diz respeito à sua confiabilidade. Para conferir essa
propriedade à evidência, um processo comum realizado pelo perito é
efetuar a extração acompanhado de um notário, com fé pública,
 que realizará a cópia seletiva,de forma conjunta, com o perito. 
 
e aplicar algoritmos de HASH sobre o conteúdo extraído, gerando um
código para conferência posterior.
 
e coletar todas as evidências relacionadas ao objeto, de forma a ligar o
incidente aos artefatos colhidos, diretamente.
 munido de autorização formal (mandado de busca, por exemplo). 
 
e descrever, de forma não técnica, os achados, de forma que seja
possível a compreensão do laudo para um leigo em TI.
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 9/23
Controles de integridade por meio de HASH são
comumente usados para comprovação de
confiabilidade que resiste ao tempo (intervalo entre a
extração e apresentação ou conferência da prova).
0,5 / 0,5 ptsPergunta 8
Para a preservação da evidência e para que ela seja aceita em um caso
em juízo, é importante que possamos comprovar onde a evidência esteve
e quais foram os atores que realizaram manipulações, durante todo o
ciclo de vida dessa evidência. Chamamos esse controle de
 OOV. 
 controle de manipulações. 
 prova material. 
 controle de Piazza. 
 cadeia de custódia. 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 10/23
Caso não comprovemos o controle sobre o ciclo de
vida de uma evidência desde sua extração do ativo
computacional sob investigação, esta prova é
passível de rejeição pelo juiz. É importante
comprovarmos o controle de registro de todas as
ações e manipulações em uma evidência, inclusive
informando o(s) ator(es) que as executaram.
Chamamos esse controle de cadeia de custódia.
0,5 / 0,5 ptsPergunta 9
Fenômenos de contaminação da evidência, tanto em nível quântico,
como os descritos inicialmente por Heisenberg, quanto os de contato e
mais práticos para os objetivos do perito forense computacional, como
descrito inicialmente por Lacard, são preocupações relativas à qualidade
da evidência. Nesse sentido, é CORRETO afirmar que
 
quanto mais isolarmos a evidência, desligando o servidor e retirando-o do
local do incidente, maior vai ser a interferência / contaminação.
 
quanto mais rápido efetuarmos o dump de memória da pasta heap e
stack, maior será a OOV e, portanto, maior vai ser a interferência /
contaminação.
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 11/23
 
quanto mais rápido logarmos no sistema com o usuário administrador,
logo após o incidente, para deletar os arquivos suspeitos de vírus, menor
vai ser a interferência / contaminação.
 
quanto mais rápido efetuarmos o dump de memória da pasta heap e
stack, menor será a OOV e, portanto, maior vai ser a interferência /
contaminação.
 
quanto mais rápido efetuarmos o dump de memória da pasta heap e
stack, menor será a OOV e, portanto, menor vai ser a interferência /
contaminação.
Na teoria que explora o dilema forense de extração
de evidências computacionais, há a abordagem de
isolamento do ativo computacional envolvido no
incidente, aceitando que serão perdidas algumas
informações importantes sobre o caso, e a
abordagem que preconiza a preservação do ambiente
como está, realizando extrações, na ordem de
volatilidade (OOV), com o mínimo de interferência e
contaminação possível.
0,5 / 0,5 ptsPergunta 10
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 12/23
Exemplificando a atividade de um perito forense computacional em
contribuição a uma investigação criminal envolvendo invasão de um site,
é CORRETO afirmar acerca do processo de coleta de evidência típico
que o perito deve coletar também
 
informações de conexão com logs do roteador de borda e/ou firewall e
logs do servidor Web envolvido.
 EMEI e memória heap do roteador local. 
 testemunho dos seguranças do andar do data center. 
 EMEI e memória heap do roteador remoto. 
 o perfil psicológico do suspeito sob acusação. 
Em casos de perícia envolvendo invasão de servidor
Web, é importante reconstruir, com a maior
completude possível, a linha temporal envolvendo as
conexões de rede até a chegada ao ativo alvo.
0,5 / 0,5 ptsPergunta 11
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 13/23
Com relação à atividade de um perito forense computacional em
contribuição a uma investigação criminal, é correto afirmar que o objetivo
da coleta de evidências é
 
estabelecer uma ligação entre o PID e PPID, vista na resposta da análise
do programa volatility.
 
exportar dados em memória (dump) para comprovar o uso de programas
proibidos.
 
exportar dados em disco para comprovar o uso de programas proibidos. 
 
comprovar ou refutar uma tese estabelecida na linha de investigação do
caso.
 
estabelecer uma acusação formal contra o acusado, com base no
resultado da perícia no disco do computador investigado.
É função principal, estabelecer provas materiais para
serem anexadas ao caso e permitir a comprovação,
ou não, de tese conduzida na investigação.
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 14/23
0,5 / 0,5 ptsPergunta 12
Analisando a atividade de um perito forense computacional em
contribuição a uma investigação criminal, a atividade inicial de definição
de atores participantes do incidente resulta nas seguintes diferenciações
de participação:
 Autor, coautor e cúmplice. 
 Ativa, passiva ou externa. 
 Autor, suspeito e mediador. 
 Vítima, gateway e atacante. 
 Vítima, força policial e investigado. 
De uma maneira geral, a tarefa de participação dos atores pode
ser executada diferenciando-os da seguinte forma:
• Vítima(s)- Indícios computacionais apontam que dados foram
subtraídos, deturpados ou inseridos por terceiro (atacante). O
ativo computacional sofreu um ataque e foi alvo cibernético de
ação deliberada de atacante(s). 
• Gateway(s)- Indícios computacionais apontam que o ativo foi
comprometido, mas não se caracteriza como alvo. O ativo
computacional serviu de ponte para que a vítima fosse atingida
pelo(s) atacante(s). 
• Atacante(s)- Indícios computacionais apontam que o ativo
encaminhou ou controlou remotamente artefatos digitais capazes
de realizar ações de subtração, deturpação ou inserção de dados
em ativo computacional de terceiro (vítima).
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 15/23
0,5 / 0,5 ptsPergunta 13
Caso um perito forense computacional deseje executar a análise de um
dump de memória realizado por outro colega, ou realizado por ele mesmo
em data passada, para fins de autenticidade e confiabilidade, ele deve
realizar o processo de:
 Verificação de rastreabilidade do DTB. 
 Validação do resultado KDBG. 
 Validação do header do dump de memória. 
 Verificação da compatibilidade do profile. 
 Verificação de correspondência HASH. 
A validação do hash garante que a análise a ser
realizada corresponde ao objeto (evidência) extraído
originalmente no processo de investigação e coleta
de evidência digital.
0 / 0,5 ptsPergunta 14IncorretaIncorreta
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 16/23
Ao realizar uma extração de evidência, para a observação de memória,
uma parte dos dados pode não estar disponível, caso o sistema
operacional (SO) use memória virtual. Nesta situação, o perito deve
realizar a coleta dos dados em disco e relacionar os dados no espaço
destinado ao armazenamento da memória virtual com referência/controle
fornecido por
 SysVol. 
 SysShare. 
 MemVol. 
 Memória RAM. 
 Page table. 
Os controles relacionados à organização dos dados
guardados em disco, correspondentes à memória
virtual, são: Page files e Page table.
0,5 / 0,5 ptsPergunta 15
Ao realizar uma análise forense observando um dump de memória
extraído noprocesso de coleta de evidência digital, em que o objetivo é
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 17/23
comprovar os processos em execução há época, um perito usando o
framework volatility usaria o comando
 mampage 
 dd if=<in> of=<off>
 pxvs 
 proccess-lk 512 
 pslist 
A execução do framework volatility, por meio do
comando “pslist”, nos possibilitará a visualização dos
programas/processos em uso que estavam
“carregados” em memória à época.
0,5 / 0,5 ptsPergunta 16
Ao realizar um dump de memória de um sistema operacional Windows
XP e investigar a evidência por meio da execução do comando malfind
do framework Volatility, o perito forense computacional deseja,
basicamente obter informações de:
 malwares 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 18/23
 pxvs 
 mampage 
 pslist 
 dd if=<in> of=<off>
A execução do framework volatility, por meio do
comando “malfind”, possibilita a verificação de
assinaturas que podem permitir a identificação da
presença de infecção por malware no computador
investigado.
0,5 / 0,5 ptsPergunta 17
Ao realizar um dump de memória de um sistema operacional Windows e
investigar a evidência por meio da execução do comando shellbags do
framework Volatility, o perito forense computacional deseja, basicamente:
 
Obter informações armazenadas em disco acerca de atividades de
“navegação” em pastas e arquivos realizados no computador investigado.
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 19/23
 
Obter informações armazenadas em memória acerca de atividades de
“navegação” em pastas e arquivos realizados no computador investigado.
 
Obter informações armazenadas em memória acerca de malwares no
computador investigado.
 
Obter informações armazenadas em disco acerca de uso da rede no
computador investigado.
 
Obter informações armazenadas em disco acerca de malwares no
computador investigado.
De uma maneira geral, o uso do comando shellbags
resulta na visualização de histórico de navegação nas
pastas e diretórios do sistema operacional Windows.
Também é possível visualizar configurações de
exibição e ordem de acesso a um arquivo ou pasta,
por exemplo (pesquisa, navegação direta, ponto de
origem etc).
0,5 / 0,5 ptsPergunta 18
Segundo o fluxo geral de atividades do perito, descrito pelo departamento
de justiça norte-americano, usado como referência em vários outros
países e citado em nosso material da unidade (NCJ 199408, 2004), os
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 20/23
quatro passos da investigação são corretamente descritos pela
alternativa:
 
1) Autorização do juiz; 2) Identificação das evidências; 3) Dump de
memória e de disco; e 4) Exame Volatility
 
1) Autorização do juiz; 2) Avaliação do local; 3) Prova continuada; e 4)
Acusação formal
 
1) Avaliação do local; 2) Coleta da cadeia de custódia; 3) Prova
continuada; e 4) Exame Volatility
 
1) Coleta da cadeia de custódia; 2) Extração das evidências; 3) Prova
continuada; e 4) Documentação e reporte (laudo) dos achados
 
1) Avaliação do local; 2) Extração das evidências; 3) Examinação das
evidências; e 4) Documentação e reporte (laudo) dos achados
Os passos genéricos descritos pelo departamento de
justiça norte-americano são: 1) Avaliação do local; 2)
Extração das evidências; 3) Examinação das
evidências; e 4) Documentação e reporte (laudo) dos
achados.
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 21/23
0,5 / 0,5 ptsPergunta 19
Ao realizar um dump de memória de um sistema operacional Windows e
investigar a evidência por meio da execução do comando netscan do
framework Volatility, o perito forense computacional deseja, basicamente:
 
Obter informações armazenadas em memória acerca de malwares no
computador investigado
 
Obter informações armazenadas em disco acerca de malwares no
computador investigado
 
Obter informações armazenadas em memória acerca de atividades de
login do usuário, realizadas no computador investigado
 
Obter informações armazenadas em disco acerca de atividades de
“navegação” em pastas e arquivos realizadas no computador investigado
 
Obter informações armazenadas em disco acerca de uso da rede no
computador investigado
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 22/23
O comando resulta na visualização de conexões
ativas na rede.
0,5 / 0,5 ptsPergunta 20
Ao realizar um dump de memória de um sistema operacional Windows 7
e investigar a evidência por meio da execução do comando yarascan – Y
“Cache” do framework Volatility, o perito forense computacional deseja,
basicamente:
 Validação do header do dump de memória 
 
Verificação de rastreabilidade do DTB contidas no cache da memória
virtual
 Validação do resultado KDBG 
 
Verificação de resquícios de informação de uso de internet contidas no
cache do navegador
 Verificação da compatibilidade do profile 
13/04/2021 AS Geral: PERÍCIA FORENSE COMPUTACIONAL
https://cruzeirodosul.instructure.com/courses/8884/quizzes/28451 23/23
O comando é utilizado para visualização de cache do
navegador.
Pontuação do teste: 8,5 de 10