PCF-3

Questões comentadas, artigos e notícias

Questão 38, Forense Computacional CPC/PA

Posted by papacharliefox3 em 20/02/2009

Questão 38 da prova para perito formulada pela CESPE. O PDF pode ser baixado aqui.

f1

Essa figura apresenta um exemplo de interface com o usuário de um software de apoio à forense computacional para a plataforma Windows. Sabe-se que, para a análise forense adequada de sistemas Windows, são importantes a compreensão dos sistemas de arquivo NTFS e FAT e a compreensão dos artefatos do Windows, incluindo-se o modo de encontrá-los e de interpretar suas propriedades. No caso do sistema Linux, destaca-se a necessidade de se compreender uma ampla gama de sistemas de arquivos distintos.

Considerando as informações acima, assinale a opção correta no que se refere a conceitos de sistemas operacionais e browsers, especialmente os relacionados com a análise forense.

A) Sistemas Linux apresentam um maior número de artefatos que sistemas Windows.
B) O sistema FAT32 suporta metadados que indicam as datas de criação, última modificação e último acesso de cada arquivo.
C) No sistema operacional Windows 98, o registro do Windows encontra-se parcialmente armazenado em um arquivo de nome system.dat.
D) O arquivo pagefile.sys é usado para suportar a hibernação de memória virtual em sistemas Windows XP.

Apesar de a questão mostrar uma figura, para resolução das sentenças não há necessidade de consultá-la. Apenas a título de curiosidade, a figura apresentada é um screenshot de uma das ferramentas desenvolvidas pela empresa X-Ways Software.

A) Sistemas Linux apresentam um maior número de artefatos que sistemas Windows.

O que são artefatos? Procurei no dicionário:

artefato1
ar.te.fa.to1
sm (lat arte factu) Designação dada a qualquer objeto produzido pelas artes mecânicas. Var: artefacto.

artefato2
ar.te.fa.to2
adj (de artefato1) V artificial.

Aplicando-se o conceito no contexto de forense computacional, um artefato nada mais é que qualquer dado gerado por um usuário (invasor) utilizando-se de sistemas computacionais. Nas perícias forenses realizadas em computadores, imagens, documentos, logs; enfim, qualquer conjunto de bits persistentes na memória, seja ela primária ou secundária, é considerado um artefato. Assim, torna-se uma tarefa bastante complicada a de quantificá-los. Sentença ERRADA.

B) O sistema FAT32 suporta metadados que indicam as datas de criação, última modificação e último acesso de cada arquivo.

O FAT32 asssim como o NTFS, é um sistema de arquivos que armazena metadados no diretório pai imediato ao arquivo, nesses estão informações como permissões, tamanho, etc. No gabarito preliminar consta como ERRADA esta sentença, no entanto, veja o conteúdo da tabela abaixo (em Inglês):

untitled1

Esta tabela foi extraída do documento da Microsoft entitulado “FAT32 File System Specification” de Dezembro de 2002. O link para o arquivo está aqui.

Note que o texto em negrito destaca exatamente as informações que constam na sentença. Daí a dúvida, será que o examinador quis referir-se ao dado inexistente, referente ao horário do último acesso (observação destacada em azul)? Desta forma, a sentença está CERTA.

C) No sistema operacional Windows 98, o registro do Windows encontra-se parcialmente armazenado em um arquivo de nome system.dat.

Perfeito. O Windows armazena as informações do registro basicamente em dois arquivos binários: system.dat e user.dat. A sentença está CERTA (somente esta, de acordo com o gabarito preliminar).

D) O arquivo pagefile.sys é usado para suportar a hibernação de memória virtual em sistemas Windows XP.

Ao colocar um computador em hibernação ou em espera, o Windows salva o estado corrente no arquivo hiberfil.sys, localizado na raiz da unidade do sistema. Já o arquivo pagefile.sys armazena as páginas de memória, utilizadas pela memória virtual. Sentença ERRADA.

Achou útil? Se encontrar alguma questão de forense ou que envolva cenários (Segurança, Redes, etc.) pertinentes ao concurso da PF, mande-nos! Até o próximo post!

Gabarito (preliminar):

http://www.cespe.unb.br/concursos/CPC2007/arquivos/CPCPA_Gab%20Preliminar_020_20.pdf

Referências:

– Microsoft, http://technet.microsoft.com

Sorry, the comment form is closed at this time.

 
%d blogueiros gostam disto: