Julgue os itens a seguir, relativos a injeção de código, engenharia reversa e exfiltração (ou desinfiltração) de dados. Situação hipotética: Na coleta de informações de um sistema atacado pelo malware Y, observou-se que as chamadas às APIs do Windows estavam sendo redirecionadas para o software de monitoramento antes que o código da API fosse efetivamente chamado, criando informações sobre a sequência das operações do sistema executadas pela amostra de malware. Assertiva: Essa situação descreve um ataque do tipo API hooking, cuja característica é a garantia de que o comportamento do nível do sistema (que, em algum momento no tempo, deve usar uma chamada de API) não é ignorado, a menos que a chamada da API correspondente não seja conectada.

Julgue os itens a seguir, relativos a injeção de código, engenharia reversa e exfiltração (ou desinfiltração) de dados. Situação hipotética: Para um programa, foram realizadas duas engenharias reversas, com técnicas distintas, ambas a partir do programa executável. Na primeira, obteve-se o código-fonte em linguagem Assembly; na segunda, obteve-se o código-fonte na linguagem C, na qual o software foi originalmente desenvolvido. Assertiva: Essa situação descreve as técnicas de engenharia reversa conhecidas, respectivamente, como análise de propriedades estáticas e comportamento dinâmico.

Julgue os itens seguintes, a respeito da análise de artefatos maliciosos. Situação hipotética: Um analista com acesso legalmente constituído extraiu dados de dois sistemas protegidos, aos quais tinha autorização válida e vigente. Após obter os dados, o servidor os compartilhou com terceiros não autorizados, propositalmente. Assertiva: Essa situação descreve uma exfiltração de dados, ainda que o agente causador tenha autorização e fosse confiável, isso porque ela pode ocorrer da forma descrita ou ainda por meio de processo automatizado conduzido por meio de um programa malicioso.

Julgue os itens seguintes, a respeito da análise de artefatos maliciosos.

Julgue os itens seguintes, a respeito da análise de artefatos maliciosos. Executar com sucesso o disassembly não é um problema simples de resolver haja vista que sequências de código executável podem ter várias representações — algumas que podem ser inválidas — e, ao final, pode-se causar erros na funcionalidade real do programa.

Julgue os itens seguintes, a respeito da análise de artefatos maliciosos.

Tendo como referência os códigos I e II a seguir, é correto afirmar que, no código I, foi realizada obfuscação, ou ofuscação, que tem, entre outros objetivos, o de tornar o código mais difícil de ser lido mediante a utilização de técnicas como mudar nomes de variáveis.

Julgue os itens seguintes, a respeito da análise de artefatos maliciosos. Situação hipotética: Ao se carregar, em um editor de hexadecimal, um arquivo executável de nome file.exe, obteve-se o código 0x5a4d no início do arquivo. Em seguida, o arquivo foi renomeado para file.txt e novamente carregado no editor, obtendo-se o mesmo código 0x5a4d. Assertiva: Nessa situação, o código em questão se refere ao magic number, o qual compõe a estrutura do arquivo executável e não se altera mesmo mudando-se a extensão do arquivo, constituindo uma das formas de o sistema operacional reconhecer o tipo de arquivo.

Com relação à análise de linha do tempo e à aquisição de dados em memória, julgue os seguintes itens. A análise de linha do tempo de eventos de interesse forense requer a existência sistematizada de registros de logs dos sistemas periciados para ser realizada, sendo sua aplicação limitada à análise forense de sistemas corporativos que dispõem desses recursos.

Com relação à análise de linha do tempo e à aquisição de dados em memória, julgue os seguintes itens. A extração de uma imagem da memória de um sistema, conhecida como dump de memória, permite identificar os processos que estavam em execução no momento da extração, bem como os arquivos, as bibliotecas, chaves de registro ou sockets em uso por cada processo.

A respeito de sistemas de arquivos, duplicação e recuperação de dados apagados ou corrompidos, julgue os próximos itens. No sistema de arquivos NTFS, uma cópia de segurança da MFT (master file table) é mantida para a recuperação em caso de eventual perda de dados da tabela. O cluster desse becape está no offset 0×38 (hexadecimal) do setor de boot do NTFS.