Questões de Criminalística

Limpar Busca

Criminalística Computação Forense


Ministério Público da União (MPU) - Analista do MPU Perito em Tecnologia da Informação e Comunicação - FGV (2025)

Embora simples, o comando dd no Linux é de grande uso na computação forense, pois está presente mesmo nas distribuições mais simples e permite a cópia de dados com grande flexibilidade.
A respeito do comando dd, é correto afirmar que:

  • A ele é a opção mais recomendada para cópia do conteúdo de dispositivos de armazenamento, pois automaticamente comprime os dados de forma segura e eficiente, poupando espaço no dispositivo de destino;
  • B executando o comando "dd if=/dev/hdb of=inicio.raw bs=512K", serão copiados os primeiros 512 kB do dispositivo "hdb" no arquivo "inicio.raw" na pasta corrente;
  • C com o comando "dd if=/dev/zero of=/dev/sda1", todo o conteúdo do dispositivo de destino será sobrescrito com o caractere "0" (ASCII 0x30);
  • D para se realizar uma cópia integral do conteúdo do dispositivo "sda" em um arquivo binário de nome "img.dd" na pasta "/media", deve ser utilizado o comando "dd if=/dev/sda of=/media/img.dd";
  • E os operandos "if" e "of" são opcionais, sendo os comandos "dd if=/dev/hda of=/dev/sdb" e "dd /dev/hda /dev/sdb" equivalentes.

Criminalística Computação Forense


Ministério Público da União (MPU) - Analista do MPU Perito em Tecnologia da Informação e Comunicação - FGV (2025)

O procedimento forense denominado carving, que consiste em algoritmos de reconstrução de arquivos com base na recuperação de fragmentos e reconhecimento de conteúdos típicos, é oferecido em muitas ferramentas forenses.
Sobre esse procedimento, o analista forense deve considerar que:

  • A a opção de carving deve ser empregada quando disponível na ferramenta de recuperação de dados, já que garante a recuperação de todos os dados que o usuário do dispositivo tenha apagado, incidental ou propositadamente, permitindo relacioná-los diretamente a ele;
  • B o procedimento de carving deve ser utilizado com critério, pois há o risco de se recuperarem dados de usos anteriores de um dispositivo de armazenamento, sem relação com o usuário ou os fatos sob investigação, podendo ser desaconselhável em algumas situações;
  • C uma das vantagens do uso de carving é que os algoritmos de reconhecimento seguem um padrão, garantindo o mesmo resultado, independentemente da ferramenta ou versão utilizadas;
  • D dados recuperados por carving são interessantes para subsidiar uma investigação, mas não têm valor forense real, devido à variabilidade de resultados (a depender da ferramenta ou versão utilizada), além de não recuperarem metadados como nomes dos arquivos ou datas de acesso;
  • E na maioria dos casos, ele não é de grande utilidade, pois recupera apenas fragmentos de arquivos removidos pelo usuário, não sendo útil no caso de uma formatação lógica do dispositivo, ainda que recente.

Criminalística Computação Forense | Cadeia de Custódia


Ministério Público da União (MPU) - Analista do MPU Perito em Tecnologia da Informação e Comunicação - FGV (2025)

A utilização de funções de resumo (hash) consiste na aplicação de algoritmos matemáticos que, dada uma entrada de dados de qualquer tamanho, produzem um único valor de tamanho fixo correspondente, com diversos empregos na computação.
Em relação ao uso de funções de hash em evidências digitais, é correto afirmar que:

  • A o cálculo de hashes de evidências digitais é fundamental para a preservação da cadeia de custódia, pois permite a verificação de integridade dos dados e a exatidão das cópias;
  • B o uso de hashes é extremamente útil em procedimentos forenses, pois permite a recuperação dos dados em casos de erros de gravação;
  • C deve-se priorizar o emprego dos hashes MD5 ou SHA1, pois são seguros e de cálculo mais rápido;
  • D o uso de hashes permite a busca e identificação de arquivos suspeitos dispensando a necessidade de verificação visual, mesmo no caso de imagens e vídeos;
  • E no caso de cópias integrais de conteúdos de dispositivos de armazenamento, um único valor de hash total é suficiente, visto que os dispositivos modernos raramente apresentam erros de acesso.

Criminalística Computação Forense | Cadeia de Custódia


Ministério Público da União (MPU) - Analista do MPU Perito em Tecnologia da Informação e Comunicação - FGV (2025)

De acordo com a RFC 3227, que define diretrizes para coleta e arquivamento de evidências, a ordem de volatilidade das evidências deve ser considerada em uma coleta, iniciando-se pela mais volátil e seguindo até a menos volátil.
Segundo essa RFC, a ordem deve ser:

  • A Tabela de roteamento, cache ARP, tabela de processo, estatísticas do kernel, memória - Registros, cache - Sistemas de arquivos temporários - Disco - Registro remoto e dados de monitoramento relevantes - Configuração física, topologia de rede - Mídias externas;
  • B Registros, cache - Tabela de roteamento, cache ARP, tabela de processo, estatísticas do kernel, memória - Sistemas de arquivos temporários - Disco - Registro remoto e dados de monitoramento relevantes - Mídias externas - Configuração física, topologia de rede;
  • C Configuração física, topologia de rede - Registros, cache - Tabela de roteamento, cache ARP, tabela de processo, estatísticas do kernel, memória - Sistemas de arquivos temporários - Disco - Registro remoto e dados de monitoramento relevantes - Mídias externas;
  • D Registro remoto e dados de monitoramento relevantes - Registros, cache - Tabela de roteamento, cache ARP, tabela de processo, estatísticas do kernel, memória - Sistemas de arquivos temporários - Disco - Configuração física, topologia de rede - Mídias externas;
  • E Registros, cache - Tabela de roteamento, cache ARP, tabela de processo, estatísticas do kernel, memória - Sistemas de arquivos temporários - Disco - Registro remoto e dados de monitoramento relevantes - Configuração física, topologia de rede - Mídias externas.

Criminalística Computação Forense | Cadeia de Custódia


Ministério Público da União (MPU) - Analista do MPU Perito em Tecnologia da Informação e Comunicação - FGV (2025)

A norma ISO/IEC 27037 define as diretrizes acerca dos procedimentos adotados em evidências digitais.

Essa sequência de procedimentos é:

  • A Identificação, Coleta, Aquisição e Preservação;
  • B Coleta, Identificação, Preservação e Análise;
  • C Coleta, Identificação, Análise e Preservação;
  • D Coleta, Identificação, Aquisição e Análise;
  • E Aquisição, Coleta, Identificação e Análise.