Questões sobre Forense computacional

O perito criminal faz justiça pela ciência, sendo o método científico seu instrumento de trabalho. Considerando que um dos aspectos do método científico é que o experimento seja replicável, ou seja, capaz de ser reproduzido, o que recomenda o Procedimento Operacional Padrão da Secretaria Nacional de Segurança Pública para realização de exame pericial em mídia de armazenamento computacional?

• A. Que o exame deve ser realizado sobre a cópia. Somente em caso de inviabilidade de realização de cópia, o exame deve ser realizado diretamente na mídia original.
• B. Como os discos rígidos são mídias muito sensíveis a danos mecânicos, recomenda-se que as partes mecânicas do disco rígido sejam retiradas para evitar que a cabeça de leitura danifique o prato.
• C. Orienta-se conectar o disco rígido imediatamente em um computador para realizar a cópia lógica dos arquivos de interesse para solução do crime.
• D. Como os discos rígidos são mídias muito sensíveis à interferência eletromagnética, recomenda-se que a placa eletrônica do disco rígido seja retirada e guardada em lugar seguro para evitar que sofra interferência eletromagnética.
• E. Para garantir a cadeia de custódia e preservação dos vestígios, recomenda-se que a etapa de processamento dos dados seja realizada antes da etapa de duplicação dos dados.

A Seção de Computação Forense da Polícia Científica do Paraná desenvolveu a ferramenta forense MobileMerger com a função de consolidar os diversos relatórios gerados por ferramentas de extração e processamento de vestígios cibernéticos de aparelhos celulares. Em alguns casos, esses relatórios consolidados podem conter cerca de 40 mil páginas e diversos arquivos de áudio, vídeo e fotografias de interesse da justiça. Segundo o Procedimento Operacional Padrão da Secretaria Nacional de Segurança Pública, qual parte da estrutura básica do laudo possibilita que um grande volume de dados seja encaminhado junto ao laudo para facilitar a visualização das informações e a busca por palavras-chave?

• A. A estrutura relativa ao material, utilizando a geração de função hash para garantir a cadeia de custódia.
• B. A parte relativa ao exame, onde o perito criminal descreve todo procedimento de recuperação de dados.
• C. Na conclusão do laudo, onde o perito sintetiza a transformação de vestígio em evidência.
• D. Os anexos, utilizando a geração de mídias anexas.
• E. No histórico, possibilitando que seja encaminhado grande volume de dados em uma linha do tempo que permite buscas por palavras-chave.

As Ciências Forenses iluminam os caminhos daqueles que buscam a verdade e a justiça pela ciência, sendo a Computação Forense uma das luzes mais brilhantes. Para tentar ocultar vestígios dos olhos atentos do perito criminal, os criminosos usam qual técnica?

• A. Cópia bit-a-bit.
• B. Geração de hashes.
• C. Esteganografia.
• D. Carving.
• E. Super-Resolução.

Com a popularização dos equipamentos computacionais portáteis e de telefonia móvel, o exame de aparelhos celulares se tornou um dos mais requisitados à perícia criminal. Muitas vezes, o perito criminal tem que extrair dados de dispositivos danificados intencionalmente pelo criminoso. Quando o aparelho está com a tela e o conector USB danificados e sem a possibilidade de reparo, qual técnica o perito criminal pode utilizar para extrair os dados?

• A. Extração via Bluetooth.
• B. Extração via Wi-fi.
• C. Extração via JTAG ou Chip-off.
• D. Extração Lógica.
• E. Extração via USB.

Conhecer sistemas de arquivos é fundamental para o perito da área de Computação Forense, pois pode auxiliar o perito criminal a elucidar a origem e o destino de um vestígio cibernético. Qual das alternativas abaixo NÃO é um sistema de arquivos?

• A. FAT32.
• B. F2FS.
• C. GFS.
• D. HFS+.
• E. PCAP.

Criminosos geralmente apagam os vestígios cibernéticos para não deixar provas da autoria e materialidade de um crime. Porém, o perito criminal, quando se depara com a análise de um sistema operacional Windows 95, 98 ou ME, sabe que um arquivo, geralmente localizado no diretório Recycled, guarda registros importantes sobre arquivos enviados para a lixeira. Qual o nome desse arquivo?

• A. INFO
• B. INFO2
• C. LOGINFO
• D. RESTOR2
• E. RECYCLED.DEL

Os peritos criminais da Seção de Computação Forense receberam para exame um aparelho celular que foi alvo de furto e teve a etiqueta com dados identificadores do fabricante retirada pelos criminosos. Para devolver o aparelho ao proprietário, a autoridade policial precisa confrontar o número do IMEI do telefone com o número de IMEI que consta na nota fiscal apresentada pelo suposto proprietário. Qual código pode ser usado pelos peritos criminais para mostrar o IMEI na tela do aparelho celular?

• A. #*06#
• B. *#06#
• C. #06r
• D. *82
• E. *144

Em um caso que investiga o crime de pornografia infantil, os peritos criminais encontraram no disco rígido em exame um arquivo com nome sugestivo de “fotosdepedofilia”, porém, esse arquivo estava criptografado. Para a decifragem desse arquivo, os peritos criminais criaram uma lista contendo uma palavra por linha que foi construída a partir de senhas encontradas em uma agenda apreendida no local de Busca e Apreensão, senhas armazenadas no navegador de internet do suspeito, combinação de dados biográficos do suspeito, todas as palavras do idioma português e uma base de dados de senhas vazadas disponíveis na internet. Que método para a decifragem de dados foi usado pelos peritos criminais?

• A. Recuperação direta.
• B. Criptograma-chave.
• C. Hash-senha.
• D. Dicionário.
• E. Rainbow tables.

Em um local de crime que contenha vestígios cibernéticos, é de fundamental importância a realização do isolamento do local a fim de garantir a preservação dos vestígios cibernéticos até a chegada dos peritos criminais. Durante uma perseguição policial, após um roubo a banco com vítima fatal, os criminosos deixaram cair no chão um celular que estavam utilizando. Quando o perito criminal chegou ao local, o celular apresentava uma tela dizendo: “realizando apagamento remoto – wiping 29%”. Qual técnica antiforense foi utilizada pelos criminosos?

• A. Destruição lógica.
• B. Destruição física.
• C. Esteganografia.
• D. Slackering ou HDDS.
• E. ADS ou Alternate Data Stream.

Assinale a opção que indica um elemento que pode facilitar o processo de engenharia reversa de um código executável.

• A. A presença de sub-rotinas recursivas nesse código.
• B. O uso de linguagem de alto nível para escrever o código.
• C. A linkedição desse código com bibliotecas estáticas.
• D. A presença da tabela de símbolos nesse código.
• E. O uso de compiladores, ao invés de montadores, para gerar esse código.