Escolar Documentos
Profissional Documentos
Cultura Documentos
2
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
Núcleo de Educação a Distância
O Grupo Educacional Prominas é uma referência no cenário educacional e com ações voltadas para
a formação de profissionais capazes de se destacar no mercado de trabalho.
O Grupo Prominas investe em tecnologia, inovação e conhecimento. Tudo isso é responsável por
fomentar a expansão e consolidar a responsabilidade de promover a aprendizagem.
3
Prezado(a) Pós-Graduando(a),
Um abraço,
4
5
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
Olá, acadêmico(a) do ensino a distância do Grupo Prominas!..
6
O texto abaixo das tags são informações de apoio para você ao
longo dos seus estudos. Cada conteúdo é preprarado focando em téc-
nicas de aprendizagem que contribuem no seu processo de busca pela
conhecimento.
Cada uma dessas tags, é focada especificadamente em partes
importantes dos materiais aqui apresentados. Lembre-se que, cada in-
formação obtida atráves do seu curso, será o ponto de partida rumo ao
seu sucesso profisisional.
7
Como consequência do aumento da utilização de dispositivos co-
nectados à Internet, houve um aumento dos crimes cibernéticos. Com o
objetivo de auxiliar na solução e redução desses tipos de crimes surgiu a
computação forense, que é o processo de identificação, preservação, aná-
lise e apresentação de evidências digitais obtidas legalmente. As evidên-
cias digitais podem ser encontradas em todos os equipamentos digitais,
discos rígidos, smartphones, cartões de memória, pen drives etc. Porém,
nem sempre é fácil ter acesso a essas evidências, pois existem técnicas
antiforenses, como a criptografia, para destruí-las ou ocultá-las. Esta uni-
dade também apresentará conceitos e dispositivos físicos de rede de com-
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
putadores.
8
Apresentação do Módulo ______________________________________ 11
CAPÍTULO 01
FUNDAMENTOS DE REDES DE COMPUTADORES
Recapitulando _________________________________________________ 32
CAPÍTULO 02
Recapitulando _________________________________________________ 51
CAPÍTULO 03
COMPUTAÇÃO FORENSE
Recapitulando __________________________________________________ 87
Referências _____________________________________________________ 96
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
10
O mundo tem se tornado cada vez mais interconectado. Atual-
mente, o número de dispositivos conectados à internet tem crescido
bastante, seja para atividades pessoais ou profissionais. Consequente-
mente, os crimes cibernéticos e outros crimes ligados à rede de compu-
tadores também vêm crescendo.
Com o objetivo de auxiliar na solução e na redução desses
tipos de crimes surgiu a computação forense, que é o processo de iden-
tificação, preservação, análise e apresentação de evidências digitais de
uma maneira legitimamente admissível. As evidências digitais podem
ser encontradas em todos os equipamentos digitais, como discos rígi-
dos, smartphones, CDs, tablets, cartões de memória, pen drives, entre
outros. É importante salientar que a evidência digital deve obedecer às
mesmas restrições legais que as evidências físicas, principalmente, as
leis que dizem respeito a duas questões: a integridade e a autenticidade
das evidências.
Se por um lado existe a ciência forense que utiliza o conheci-
mento científico para ajudar a solucionar os cibercrimes. Por outro lado,
há a ciência antiforense, que inclui um conjunto de técnicas, como a
criptografia, para impedir a análise forense, isto é, a utilização de técni-
11
FUNDAMENTOS DE
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
REDE DE COMPUTADORES
12
podem ser usadas fibras ópticas, micro-ondas, ondas de infravermelho e sa-
télites de comunicações. Existem redes de muitos tamanhos, modelos e for-
mas... Elas normalmente estão conectadas para criar redes maiores, com a
Internet sendo o exemplo mais conhecido de uma rede de redes.
13
Figura 1 – Representação da Arquitetura Cliente-Servidor
Servidor
15
• Switch, assim como o hub, o switch é um equipamento que
tem a função de interligar dispositivos de uma rede local. Entretanto, o
switch opera de uma forma mais inteligente. Sendo a principal diferença
entre esses dois dispositivos o desempenho. Atualmente, com o avanço
da tecnologia é possível encontrar switches que sejam capazes de se
conectar a dispositivos em localidades remotas. Os switches possuem
SAT (Source Address Table) ou uma tabela de endereços MAC (Media
Access Control), que tem o papel de armazenar informações de endere-
ços sobre cada dispositivo que está conectado a ele (BUNGART, 2017).
Segundo Bungart (2017) SAT ou tabela de endereços MAC “registram
os endereços das portas dos dispositivos e, quando uma mensagem é
destinada para um deles, ela só é transmitida para aquela porta e não
para todas, como nos hubs”. Portanto, a transmissão ocorre somente
para um destinatário.
• Roteador trata-se de um equipamento utilizado para realizar
a interconexão entre sub-redes distintas de uma rede local, isto é, co-
nectar diferentes redes criando uma rede de maior porte (BUNGART,
2017).
• Bridge (Ponte) trata-se de um dispositivo utilizado para co-
nectar duas ou mais redes distintas de forma a possibilitar que elas se
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
16
Assunto: Hub, Switch, Roteador e Gateway
Link do assunto: https://canaltech.com.br/produtos/afi-
nal-qual-a-diferenca-entre-roteador-hub-e-switch-66249/#:~:tex-
t=Hubs%20e%20switches%20conectam%20computadores,switch%20
e%20proteger%20sua%20LAN;https://www.infowester.com/hubswit-
chrouter.php e https://www.tutorialspoint.com/what-are-gateways-in-
-computer-network
Assunto: Firewall
Link do assunto: https://www.cisco.com/c/pt_br/products/se-
curity/firewalls/what-is-a-firewall.html#~tipos-de-firewall e no link: ht-
tps://canaltech.com.br/internet/o-que-e-firewall/
Topologia de Redes
Existem duas categorias para a topologia de redes, que são
(FERREIRA, 2012): a topologia física e a topologia lógica. A topologia
física refere-se ao layout físico, ou seja, como os cabos são conectados
e/ou os meios físicos utilizados, conforme ilustra a Figura 3.
A topologia de rede física são categorizadas em:
• Topologia em Barramento (bus) trata-se de uma topologia
em que todos os elementos compartilham um único meio de transmis-
são (cabo central), conforme ilustra a Figura 4. Nessa topologia as má-
quinas são colocadas em paralelo, semelhante a uma barra. A desvan-
tagem dessa topologia é caso ocorra algum problema de conexão no
barramento, também ocorrerá um problema de comunicação de todas
as máquinas. Outro ponto é que como não existe um ponto central,
como se visualiza na Figura 4, cada máquina trabalha ora como um
transmissor ou ora como receptor. Devido a esses percalços, atualmen-
17
te, essa topologia é pouco utilizada, apesar de ter um baixo custo de
instalação (BUNGART, 2017).
18
• Topologia em Anel (ring) é semelhante à topologia em
barramento, entretanto, ela possui suas duas pontas conectadas como
se fosse um anel, conforme ilustra a Figura 5. Segundo Bungart (2017,
pg. 25) essa topologia “permite redundância e continuidade, fazendo
com que, caso algum problema aconteça em um elemento do anel, a
comunicação não seja interrompida”.
19
Figura 6 – Topologia Estrela
20
• Topologia em Malha (Mesh) possui dispositivos conectados
a mais de um elemento, conforme ilustra a Figura 8. Por essa figura (Fi-
gura 8) é possível perceber que existem diversos caminhos alternativos.
Assim, a disponibilidade da rede aumenta, mesmo que algum problema
ocorra com a interconexão dos dispositivos. Entretanto, quanto mais
caminhos alternativos existirem maior será a disponibilidade da rede,
porém, maior será o seu custo de instalação e manutenção (BUNGART,
2017).
22
enviado dentro da rede Token Ring (conforme apresenta a Figura 10)
e cada dispositivo tem uma determinada quantidade de tempo para
receber e/ou responder. Geralmente, o token é mantindo durante um
período limitado, deste modo, assim que o dispositivo recebe o token;
ele poderá começar a transmissão da mensagem e após ela ter sido
enviada, o token poderá passar para o próximo dispositivo (UNIFEI7,
acesso: 20/11/2020).
CLASSIFICAÇÃO DA REDE
23
Figura 11 – Classificação da Rede em relação a sua abrangência ou distribui-
ção geográfica
24
Figura 12 – Exemplificação de uma Rede PAN
25
Figura 13 – Exemplificação de uma Rede LAN
26
Figura 14 – Exemplificação de uma Rede MAN
27
Figura 15 – Exemplificação de uma Rede WAN
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
28
Vídeo sobre o assunto: Tipos de Redes: LAN, WAN, PAN,
CAN, MAN, SAN, WLAN
Este vídeo oferece uma explanação clara e ilustrativa sobre as
diferenças das redes PAN, LAN, WAN, MAN e outras.
Disponível no link: https://www.youtube.com/watch?v=4_zSI-
Xb7tLQ
INTERCONEXÃO DE REDE
Rede 1 R Rede 2
8 Um gateway é um nó de rede que permite uma passagem entre duas redes que operam
com protocolos de transmissão diferentes.
30
Figura 18– Representação do Gateway de aplicação interligando dois
sistemas de e-mails heterogêneos
Gateway de
aplicação
31
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2019 Banca: IDECAN Órgão: IF-PB Prova: Técnico em Tecno-
logia da Informação Nível: Fácil.
A respeito dos diversos tipos de equipamentos de rede, assina-
le a alternativa que indica corretamente o nome do equipamento
de rede capaz de realizar uma conexão entre diferentes redes de
modo a permitir a troca de informações entre elas, mas que seja
capaz também de controlar o fluxo da informação, possibilitando,
por exemplo, a criação de rotas mais curtas e rápidas.
a) Modem
b) Repetidor
c) Bridges
d) Switch
e) Roteador
QUESTÃO 2
Ano: 2019 Banca: INAZ do Pará Órgão: CORE-SP Prova:Técnico
Nível: Médio.
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
QUESTÃO 4
Ano: 2018 Banca: CESPE Órgão: SEFAZ-RS Prova: Técnico Tribu-
tário da Receita Estadual Nível: Médio.
Em redes locais, determinados equipamentos concentram o trá-
fego de dados entre os computadores. Alguns deles replicam os
QUESTÃO 5
Ano: 2020 Banca: COPESE – UFPI Órgão: ALEPI Prova: Tecnologia
da Informação Nível: Médio.
Sobre o conceito, uso e configuração de um firewall, marque a op-
ção INCORRETA.
a) Pode ser uma implementação de hardware ou de software.
b) Permite aplicar uma política de segurança a um determinado ponto
da rede a qual está controlando o fluxo de pacotes.
c) No firewall que implementa a filtragem estática, os dados são blo-
queados ou liberados meramente com base nas regras, não importando
a ligação que cada pacote tem com outro.
33
d) Uma de suas funções também é impedir as colisões de pacotes, me-
lhorando desempenho da rede.
e) Um gateway de aplicativo de proxy é um recurso do firewall que com-
bina o controle de acesso com a funcionalidade da camada superior
atuando como um intermediário entre dois hosts que desejam se co-
municar uns com os outros, nunca permitindo uma conexão direta entre
eles.
QUESTÃO 6
Ano: 2020 Banca: IBADE Órgão: Prefeitura de Vila Velha - ES Pro-
va: Técnico de Informática Nível: Fácil
Uma rede de informática é constituída por computadores conec-
tados entre eles graças às linhas de comunicação e elementos de
hardware. O termo topologia ou mais especificamente topologia da
rede, diz respeito ao layout físico da rede, ou seja, como os compu-
tadores, cabos e outros componentes estão ligados na rede. Qual
das alternativas abaixo NÃO representa um tipo de topologia física
de rede?
a) Ponto a ponto
b) Barramento
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
c) Iterativa
d) Anel
e) Malha
TREINO INÉDITO
NA MÍDIA
NA PRÁTICA
A Piracanjuba foi criada em 1955 e hoje é uma das cinco maiores em-
presas de laticínios do Brasil, conta com cinco unidades fabris, no en-
tanto, como a meta é expandir conforme explica o coordenador de in-
fraestrutura de TI, Leonardo Barbosa, que para alcançar essa meta a
empresa precisa interligar a matriz às unidades fabris, os pontos de
resfriamento e o escritório central em Goiânia a uma rede com gestão
de alta performance, redundância, gestão e, principalmente, segurança.
Para atender a essas necessidades a empresa contratou a Vivo empre-
sas que desenvolveu um plano exclusivo. A Piracanjuba possui ao todo
35
19 plantas, ou seja, 19 locais distintos de trabalhos. Esses locais reque-
reram um olhar atento e individual da Vivo para cada uma dessas plan-
tas para que, assim, detectasse os possíveis problemas, o apontamento
de melhorias e otimização de todo o sistema. Após a análise, a Vivo
concluiu que a solução seria a criação de links dedicados de altíssima
velocidade, dessa forma tornando a comunicação mais ágil e segura.
Atualmente, a Piracanjuba possui todo o seu ambiente monitorado pelo
SOC da Vivo, dessa forma, qualquer tipo de invasão ou movimento sus-
peito é detectado na hora e, posteriormente, são sugeridas providências
que devem ser tomadas para evitar problemas maiores. Essas mudan-
ças implantadas pela Vivo tornaram a Piracanjuba mais produtiva, dei-
xando seus dados mais protegidos, tudo isso sem a necessidade de
investimento em infraestrutura, licenças para o uso de software, con-
tratação adicional de profissionais etc. Em suma, nenhum investimento
que pudesse comprometer a saúde financeira da Piracanjuba.
36
PROTOCOLOS & ARQUITETURAS
[2800:3f0:4004:807::2004]10.
• HTTP(Hypertext Transfer Protocol, ou em português, Pro-
tocolo de Transferência de Hipertexto): O funcionamento do HTTP é
baseado nos procedimentos de requisição e resposta, ou seja, o cliente
é o responsável por enviar as requisições de conteúdo. Já o servidor é
responsável por enviar as respostas, como por exemplo, arquivos HTML.
Atualmente, o protocolo HTTP trata-se do protocolo mais utilizado pela
comunicação na internet, pois ele codifica endereços escritos em uma
linguagem acessível ao computador (FRANCISCATTO; DE CRISTO;
PERLIN, 2014). Entretanto, o protocolo HTTP tem problemas de segu-
rança, pois quando ele é interceptado, pode ser facilmente analisado e
expor informações sigilosas, como nomes de usuários e senhas de uma
determinada aplicação. Por esse motivo, foi criado o protocolo HTTPS
(Hypertext Transfer Protocol Secure ou em português Protocolo de
Transferência Segura de Hipertexto) que tem como objetivo fornecer
mais segurança nas transações realizadas através da rede (BUNGART,
2017). De acordo com Bungart (2017, pg. 39) “o servidor insere uma
criptografia, ou seja, um código que somente o servidor e o cliente reco-
nhecerão, aumentando muito a segurança daquela comunicação”.
9 Datagrama é similar a um pacote, porém, não requer confirmação de que foi recebido.
10 Para obter o IP do site: www.google.com, basta digitar: ping www.google.com no Prompt
de Comando.
38
• SMTP(Simple Mail Transfer Protocol): Trata-se de um pro-
tocolo que tem a função de realizar a comunicação entre o servidor de
e-mails e o computador requisitante, ou seja, somente enviar e-mails (a
um ou mais destinatários) dessa forma, realizando a transmissão des-
sas mensagens. Já para o recebimento de mensagens de um servidor,
utiliza-se outro protocolo, o POP3 (Post Office Protocol 3) que é o res-
ponsável por receber as mensagens do servidor para o software cliente
de e-mail do usuário como o Outlook Express, Apple Mail, Kmail entre
outros (FRANCISCATTO; DE CRISTO; PERLIN, 2014).
• FTP(File Transfer Protocol, em português, Protocolo de
Transferência de Arquivo): Trata-se de um protocolo desenvolvido
para a transferência de arquivos, que é semelhante a que os usuários
fazem entre as pastas (diretórios) no próprio computador. São exemplos
destes programas aplicativos: Filezilla, SamrtFTP, Cyberduck, entre ou-
tros (FRANCISCATTO; DE CRISTO; PERLIN, 2014).
• DHCP(Dynamic Host Configuration Protocol): É um tipo
de protocolo que tem a função de distribuir e gerenciar os endereços
de IP em uma rede de computadores (FRANCISCATTO; DE CRISTO;
PERLIN, 2014).
• SNMP(Simple Network Management Protocol, ou em por-
41
Figura 19 – Layout de uma rede
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
42
Assunto: Projeto de Redes
Link do assunto: http://champak.co.in/articles_01.html ; http://
adaptableit.com.au/?page_id=269 e também no link: https://www.sig-
matelecom.com.br/projetos-de-redes-de-uma-empresa/
Arquitetura OSI
44
Figura 21 – Diferenças entre os três modos de comunicação: Simplex, Half-
-duplex e Full-duplex.
45
CRISTO; PERLIN, 2014).
3. Camada de Transporte tem como principal função aceitar
os dados da camada de sessão e fragmentá-los em unidades menores;
e caso seja necessário, essa camada poderá repassar essas unidades
à camada anterior (camada de rede) e assegurar que todos os frag-
mentos chegarão perfeitamente à outra ponta. Pois, quando o pacote é
fragmentado em unidades menores para realizar o envio da origem para
o destino, as chances de a comunicação ser bem sucedida aumentam.
Além disso, a fragmentação na camada de transporte também tem a
função de criar pacotes e adicionar a eles as informações que possibili-
tem o reagrupamento da mensagem na ordem correta em seu destino,
portanto, a mensagem é agrupada antes de ser enviada para a próxima
camada (camada de sessão) (RIBEIRO-SANTOS, 2016).
4. Camada de Sessão permite que usuários de diferentes
computadores estabeleçam sessões de comunicação entre eles. Uma
sessão de comunicação permite vários serviços, como: (i) o controle
de diálogo, que mantém o controle de quem deve transmitir e em qual
momento; (ii) gerenciamento de tokens, que impedem que duas partes
tentem executar a mesma operação crítica, simultaneamente; e (iii) sin-
cronização, que realiza a verificação periódica das transmissões muito
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
longas para, assim, possibilitar que elas retomem após ocorrer uma fa-
lha a partir do ponto que pararam (TANENBAUM; WETHERALL, 2011).
5. Camada de Apresentação tem como função converter as
informações que são recebidas da camada anterior (camada de aplica-
ção) para um formato que seja compreensível na transmissão desses
dados (FRANCISCATTO; DE CRISTO; PERLIN, 2014). Em suma, essa
camada tem o papel de realizar a tradução dos formatos, ou seja, dos
diferentes padrões, como o EBCDIC (Extended Binary Coded Decimal
Interchange Code) da IBM para o padrão ASCII (American Standard
Code for Information Interchange) de codificação que é um formato en-
tendível e sanável pela pilha de protocolos. Além da formatação dos
dados, compreensão e transformação essa camada também provê ser-
viços de criptografia (RIBEIRO-SANTOS, 2016).
6. Camada de Aplicação tem como papel intermediar a “con-
versa” das aplicações com a rede. Logo, ela atua como uma interface
para essas aplicações (RIBEIRO-SANTOS, 2016). Existem protocolos
específicos de comunicação, como HTTP para transferências de arqui-
vos, correio eletrônico e outros.
Arquitetura Internet
A arquitetura Internet é também denominada de arquitetura
TCP/IP. De acordo com Tanenbaum e Wetherall (2011, pg. 28), à medi-
da, que a internet e a sua utilização foram aumentando e, assim criadas
“as redes de rádio e satélite, os protocolos existentes começaram a ter
problemas de interligação com elas, o que forçou a criação de uma nova
arquitetura de referência” que é a arquitetura TCP/IP. Mais tarde essa
47
arquitetura ficou conhecida como modelo de referência TCP/IP, por cau-
sa desses dois principais protocolos: TCP e IP.
O modelo TCP/IP possui apenas quatro camadas, como ilustra
a Figura 23: (i) Enlace que é também denominada de Interface de Re-
des; (ii) Internet; (iii) Transporte e (iv) Aplicação. Já a Figura 24 ilustra
uma comparação entre o modelo de referência OSI que possui sete
camadas (detalhado na seção 2.1.1) com o modelo de referência TCP/
IP que possui apenas quatro camadas. Além do mais, por essa figura
(Figura 24) é possível perceber a correspondência das camadas ausen-
tes no modelo TCP/IP, como por exemplo, a camada Interface de Rede
que corresponde a duas camadas no modelo OSI: Física e Enlace de
Dados.
https://tecnodicasdeti.com.br/blog/protocolo-tcp-ip-basico-do-
-numero-ip/
e também no link: https://www.clubedohardware.com.br/arti-
gos/redes/como-o-protocolo-tcp-ip-funciona-parte-1-r34823/
48
Figura 24 – Comparativo entre os Modelos de Referência OSI e o TCP/IP
Aplicação
Apresentação Aplicação
Sessão
Transporte Transporte
Rede Internet
Enlade de Dados
Interface de Redes
Física
49
o protocolo HTTP (usando para buscar páginas na WWW), os proto-
colos de aplicação DNS, SSH e POP3, dentre outros (TANENBAUM;
WETHERALL, 2011), (FRANCISCATTO; DE CRISTO; PERLIN, 2014).
50
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2016 Banca: Quadrix Órgão: CFP Prova: Analista Técnico –
Suporte em TI Nível: Fácil.
Para transferir arquivos de um sistema de computadores para ou-
tro um Analista em Informática pode utilizar o protocolo da camada
de aplicação do conjunto de protocolos TCP/IP, conhecido como:
a) MIB.
b) TCP.
c) SMTP.
d) UDP.
e) FTP.
QUESTÃO 2
Ano: 2020 Banca: IBADE Órgão: Prefeitura de Vila Velha – ES Pro-
va: Analista de Infraestrutura Nível: Difícil.
Em relação à camada TCP, pode-se afirmar:
I - Como a camada IP não oferece garantia de que os datagramas
serão entregues da forma apropriada; cabe, portanto, ao TCP ad-
QUESTÃO 3
Ano: 2020 Banca: IBADE Órgão: Prefeitura de Vila Velha – ES Pro-
va: Analista de Infraestrutura Nível: Difícil.
Em relação ao DNS (Domain Name System):
I - O DNS utiliza o protocolo UDP.
II - Um Host com um único nome DNS pode ter vários endereços IP.
III - O DNS é extremamente importante para o funcionamento da
Internet, a sua função é mapear nomes simbólicos de máquinas
em endereços IP, e também ajudar a localizar pessoas, recursos,
51
serviços ou objetos em geral.
Está(ão) correta(s):
a) somente I.
b) somente II.
c) somente III.
d) somente II e III.
e) somente I e II.
QUESTÃO 4
Ano: 2020 Banca: IBADE Órgão: Prefeitura de Vila Velha – ES Pro-
va: Analista de Suporte Nível: Difícil.
Com tantas LANs diferentes, em muitos casos se faz necessário
um modo para interconectar todas elas.
I - Os hubs são usados para esse fim.
II - A VLAN (Virtual LAN) é um método para interconexão de LANs.
III - Para facilitar o uso de VLANs, foi introduzido um novo formato
de quadros Ethernet.
Está(ão) correta(s):
a) somente I.
b) somente II.
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
c) somente III.
d) somente I e II.
e) somente II e III.
QUESTÃO 5
Ano: 2020 Banca: FAPEC Órgão: UFMS Prova: Técnico de Tecnolo-
gia da Informação Nível: Médio.
Considere os dispositivos para transferência de quadros e pacotes
entre computadores e assinale a alternativa que representa corre-
tamente a camada em que opera.
a) Roteador - Camada Física.
b) Switch - Camada de Aplicação.
c) Bridge - Camada de Enlace de Dados.
d) Switch - Camada de Transporte.
e) Gateway - Camada de Rede.
QUESTÃO 6
Ano: 2020 Banca: FAPEC Órgão: UFMS Prova: Técnico de Tecnolo-
gia da Informação Nível: Fácil.
Sobre a arquitetura TCP/IP, assinale a alternativa correta.
a) É um modelo de referência distribuído em 7 camadas.
b) A camada 7 do modelo TCP/IP é a camada de Aplicação.
52
c) Possui apenas 4 camadas.
d) No modelo TCP/IP, a camada de Sessão serve para endereçar os
pacotes.
e) A camada 1 do modelo TCP/IP é a camada de transporte.
TREINO INÉDITO
NA MÍDIA
Fonte: UOL
Data: 18mar. 2020.
Leia a notícia na íntegra: https://www.uol.com.br/tilt/noticias/reda-
cao/2020/03/18/com-tanta-gente-em-casa-a-internet-no-brasil-vai-a-
guentar-o-tranco.htm
NA PRÁTICA
55
COMPUTAÇÃO
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
FORENSE
56
disciplina que combina os elementos do direito e da ciência da computação
para coletar e analisar dados de sistemas de computador, redes, comuni-
cações sem fio e dispositivos de armazenamento de uma forma que seja
admissível como prova em um tribunal.
57
são expandidos ou diminuídos conforme a demanda do cliente (quem
contratou o serviço de computação em nuvem). Como mencionado, a
computação em nuvem oferece diversas vantagens para seus clientes.
No entanto, para a computação forense ela representa um desafio, vis-
to que existem limitações geográficas e pouca legislação sobre essa
tecnologia, devido ao rápido desenvolvimento e implantação dessa tec-
nologia (LIN, 2018, pg.7 e pg. 8, tradução nossa19), como por exemplo,
qual lei deve prevalecer: a do país do cliente ou a do país em que está
hospedado o servidor em nuvem?
Outro exemplo de um desenvolvimento tecnológico que repre-
senta um desafio para a computação forense é a tecnologia de arma-
zenamento em disco, pois ela está cada vez maior e a tendência é que
esse avanço persista. Esses dispositivos com grande capacidade de
armazenamento requererão cada vez mais algoritmos que sejam mais
eficientes para a análise e recuperação dos dados procurados pelos pe-
ritos forenses. Além do aumento das capacidades de armazenamentos,
também há a tecnologia SSDs (unidades de estado sólido) que tem se
tornado muito popular nos computadores. Mas, essa tecnologia dificulta
o trabalho da computação forense, pois os SSDs são projetados para
autodestruir arquivos por razões de eficiência; o que torna praticamente
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
58
Dentre os desafios enfrentados pelos peritos forenses pode-se
citar:
• As técnicas de investigação forense envoluem, entretanto, as
dos criminosos também; em busca de dificultar ou impossibilitar a re-
cuperação de evidências digitais até mesmo evitar deixar evidências.
Esse processo é conhecido como antiforenses (vide seção 3.1.4) que é
auxiliado por diversas ferramentas disponíveis online (LIN, 2018, pg.8 e
pg. 9, tradução nossa21).
• O desenvolvimento de novas tecnologias supera as leis, que
são comparativamente muito mais lentas para sofrerem atualizações/
modificações. Pois, a tecnologia eletrônica passa rapidamente pelos
estágios de desenvolvimento para chegar ao consumidor mais rapida-
mente. Como as leis não conseguem acompanhar o mesmo ritmo de
atualizações das tecnologias, inicialmente, apenas estabelecerá que
uma atividade é ilegal, isto é, imoral. Logo, criam-se obstáculos desne-
cessários tanto na investigação digital, quanto na extração de evidên-
cias digitais, consequentemente, as autoridades não serão capazes de
combater a ameaça, por mais flagrante que ela seja. O autor LIN (2018)
cita o exemplo do cyberbullying, que é uma prática de agressão mo-
ral que ocorre através da Internet, tornando-se um problema cada vez
59
De acordo com LIN (2018) existem dois tipos de análise foren-
se, que são: (i) a Análise Morta (Post-mortem Forensics), que se trata
daquela que depende fortemente do exame estático da mídia de arma-
zenamento de dados e (ii) a Análise Viva (Live Forensics), que tem
o principal foco investigar a memória volátil (RAM, caches e registros).
A análise morta tem alguns problemas que estão relacionadas ao uso
de tecnologias mais recentes, já que estas deixam pouco ou nenhum
traço no disco rígido da vítima. Tal fato ocorre, pois o crimino tenta tirar
proveito das informações na memória volátil do computador, portanto, a
utilização da análise morta (que adota técnicas tradicionais) não é mais
tão eficaz (LIN, 2018, pg.7, tradução nossa23).
Devido a esse problema surgiu a análise viva, que possibilita a
investigação da memória volátil. Entretanto, essa técnica possui alguns
desafios, como por exemplo, se os criminosos descobrirem que os pe-
ritos forenses estão observando o seu sistema e o desligarem; como a
maioria dos dados é volátil, eles serão perdidos para sempre. Por outro
lado, mesmo se o sistema ainda estiver ativo, o kernel e os programas
adotados pelos peritos forenses podem ter influências negativas nos re-
sultados da investigação. Portanto, os peritos devem ser extremamente
cuidadosos para minimizar seu impacto no sistema; não apenas para
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
garantir que a sua presença não seja descoberta, mas também para
preservar a integridade legal de qualquer evidência encontrada (LIN,
2018, pg.7, tradução nossa24).
De acordo com Lin (2018), atualmente, a técnica de análise
sites during the last year [5]. However, abusers barely get punished for bullying others online due to
lack of applicable laws and the difficulty of tracking down cybercriminals. This can also be extended
to non-standardized deployments of technologies, due to pending or changing ISO standards; such
technologies may not fall within the collective groupings that the laws govern, resulting in a legal
loophole that makes abuse of these technologies legal. Additionally, the resulting poor technical
documentation makes it difficult for forensic investigators to even accomplish the required tasks,
never mind gaining the approval to do so.
23 Although traditional computer forensics relies heavily on static examination of data stor-
age media (this is called“dead analysis,” because the system is in a shutdown state), new waves
of attacks, using the latest technology, will leave little or no trace on a victim’s hard drive. This is
because the attacker tries to take advantage of the information in the computer’s volatile memory
(RAM, caches, and registers). As a result, traditional techniques, such as offline hard disk acquisi-
tion, will not be effective.
24 To solve this problem, live analysis is used, in place of dead analysis. Although live anal-
ysis also involves looking through storage media, its main focus is to investigate volatile memory.
This method presents new challenges, as live analysis techniques are usually intrusive and can
actively affect the system being observed. If the attackers discover that their system is being ana-
lyzed, and shut the system down as a defense, most of the volatile data would be lost forever. On
the other hand, even if the system is still active, the kernel and programs employed by the forensic
investigators may have negative influences on the investigation results. Investigators performing
live analysis must be extremely careful to minimize their impact on the system; this is very import-
ant, not only to ensure that their presence is not discovered, but also to preserve the legal integrity
of any evidence found.
60
viva tem sido mais adotada, pois muitos dos ataques que ocorrem con-
tra os sistemas de computador não deixam rastros no disco rígido e sim
na memória volátil do computador, como por exemplo, os ataques de
worms e rootkits25 da Internet. Outro fator que contribui para a crescente
utilização dessa técnica é o armazenamento criptográfico, que normal-
mente a chave de descriptografia é encontrada apenas na memória do
computador (LIN, 2018, pg.7, tradução nossa26).
Perito Forense
Segundo Lin (2018) assim como em uma cena de crime real, a
prática da computação forense deve ser apoiada por profissionais foren-
ses, que por sua vez devem assegurar que os dados e os registros do
25 Rootkits são programas que buscam ocultar os rastros do invasor. Além disso, possui a
capacidade de anular uma solicitação feita por um processo, ocultar arquivos e outras provas que
poderia mostrar a presença de um invasor.
26 In recent years, there has been increasing emphasis on performing live analysis. One
reason, as described above, is that many current attacks against computer systems leave no trace
on the computer’s hard drive; the attacker only exploits information in the computer’s volatile mem-
ory. Examples of these attacks would include Internet worms and rootkits. Another reason is the
growing use of cryptographic storage: It is quite possible that the only copy of the storage’s de-
cryption keys is in the computer’s memory, and therefore, turning off the computer (to perform
dead analysis) will cause that information to be lost. For example, some operating systems employ
default or configurable encrypted file systems. An example of this would be windows 7/8 BitLocker
or Linux distributions that encrypt their users’ directories. These technologies bring challenging
cryptographic problems into the forensic process, many of which cannot be solved without knowl-
edge of the secret keys used.
61
sistema operacional e outros, sejam adquiridos e armazenados como
uma imagem no momento da apreensão forense. Além disso, esses
profissionais devem seguir diretrizes e princípios, a fim de garantir que
as evidências contribuam para um resultado legalmente justo e bem-su-
cedido (LIN, 2018, pg.12, tradução nossa27).
A digitalização da informação e facilidade de armazenamento,
recuperação e distribuição revolucionaram nossas vidas de muitas ma-
neiras e, consequentemente, levando a um constante declínio no uso
de impressão em papel. Por outro lado, à medida que computadores e
dispositivos digitais (laptops, smartphones etc.) tornam-se mais envolvi-
dos em crimes digitais, como roubo de identidade, fraudes financeiras,
ataques hacking, pornografia infantil etc., a computação forense tem
mais expectativa de solucionar crimes e de melhorar a segurança da
sociedade.
Logo, esse crescente aumento de dispositivos digitais também
exige uma crescente quantidade de peritos para buscar evidências de
dados, como e-mails, fotos, vídeos, mensagens de texto, arquivos de
log de transações, entre outros em dispositivos digitais. Esses dados
permitem a reconstrução de um crime e a identificação do autor do cri-
me. Com o exemplo citado pelo autor Lin (2018) sobre o julgamento
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
62
Documentário sobre o assunto: Aptidões para Perito Forense
Disponível no link: https://cybersecurityguide.org/careers/
computer-forensics/;
https://computer.howstuffworks.com/computer-forensic.htm
e também no link: https://www.criminaljusticedegreeschools.com/ca-
reers/computer-forensics-investigator/
63
dências digitais de sistemas suspeitos, fazendo isso de uma forma que
preserve seu valor legal, usando essas evidências para construir e pro-
var hipóteses sobre crimes e também para fornecer aos promotores as
provas de que precisam para levar os criminosos à justiça (LIN, 2018,
pg. 13 e pg. 14, tradução nossa30);
64
Entretanto, com o aumento do uso de computadores, disposi-
tivos móveis, entre outros dispositivos digitais, também houve um cres-
cimento nos crimes praticados por meios dessas tecnologias. Dessa
forma, para combater os crimes, os peritos passaram a utilizar um novo
tipo de evidência forense, que é denominada de evidência digital (LIN,
2018, pg. 15, tradução nossa32).
As evidências digitais podem ser encontradas em todos os
equipamentos digitais, como discos rígidos, smartphones, CDs, tablets,
cartões de memória, pen drives, dentre outros (LIN, 2018, pg. 15 e pg.
16, tradução nossa33). Além disso, durante a coleta de evidência em
uma cena de crime digital deve-se ter muita atenção para, assim, asse-
gurar que tudo que é útil foi coletado. Por exemplo, atualmente, existem
dispositivos de armazenamento, como pen drives que não possuem a
aparência tradicional, ou seja, se parecem mais com brinquedos, con-
forme se observa na Figura 25 (LIN, 2018, pg. 16, tradução nossa34).
65
Figura 25 – Pen drives com aparência de brinquedos
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
66
sa36): (i) Integridade: a evidência digital satisfaz a integridade se a evi-
dência não foi modificada durante os processos de aquisição e análise;
(ii) Autenticidade: que é a capacidade de confirmar a integridade das
evidências e também se referir à exatidão das informações e à confia-
bilidade da fonte.
Assim, para estabelecer a autenticidade das provas é impor-
tante documentar a cadeia de custódia37. Isso é particularmente crucial
e desafiador para as evidências digitais, pois requer uma integridade
muito maior e mais específica, em comparação com as evidências tra-
dicionais (LIN, 2018, pg. 18, tradução nossa38) tudo isso para evitar que
uma desconfiança das evidências digitais anule toda a investigação.
Portanto, a cadeia de custódia deve ser mantida durante todos os es-
tágios da investigação a fim de preservar a integridade da evidência
digital (LIN, 2018, pg. 18, tradução nossa39).
Técnicas Antiforenses
Se por um lado existe a ciência forense, que utiliza o conheci-
mento científico para ajudar a solucionar os cibercrimes, por outro lado
existe a ciência antiforense que consiste em um conjunto de técnicas
67
De acordo com Hassan (2019, pg. 291, tradução nossa41) o
melhor conceito para técnicas antiforenses é: “As tentativas de afetar
negativamente a existência, quantidade e/ou qualidade de evidências
da cena do crime, ou dificultar a análise e o exame das evidências”,
isto é, tornar a investigação impossível de ser conduzida. A seguir se-
rão apresentadas algumas das principais técnicas antiforenses, que são
técnicas de destruição de dados (antirrecuperação), técnicas de oculta-
ção de dados (esteganografia) e técnicas de criptografia.
As técnicas de destruição de dados são utilizadas pelos crimi-
nosos para tornar seus dados impossíveis de recuperar, mesmo após
o uso de ferramentas especializadas em recuperação de dados. De
acordo com Hassan (2019) existem três maneiras de destruir os dados
armazenados em dispositivos digitais (Hassan, 2019, pg. 299, tradução
nossa42), que são:
• Destruição física em que os meios de armazenamento di-
gital (como HD, cartões de memória) são fisicamente destruídos para
evitar a recuperação.
• Técnica de desmagnetização que consiste numa técnica
que expõe os dispositivos de armazenamento magnéticos (como HDs
ou fitas magnéticas) a um desmagnetizador para excluir os dados ar-
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
remedial action or a court of law. The primary goal of digital forensics is to perform a structured
investigation of digital evidence and prepare this evidence for presentation in a court of law. Digital
forensic investigators use different forensic tools to collect, preserve, and interpret digital evidence.
Based on their findings, they will draw conclusions and present these conclusions to those who will
act on them. Antiforensics science, on the other hand, is the set of techniques used to fight against
forensics analysis. It tries to stop and mislead investigations by making acquiring and analyzing
digital evidence difficult or even impossible. Antiforensics techniques aim to destroy or conceal
digital evidence, thus frustrating forensic investigators and increasing the time needed to perform
the initial analysis.
41 The best definition of antiforensics techniques comes from Dr. Marc Rogers of Purdue
University, who defined them as follows: Attempts to negatively affect the existence, amount and/or
quality of evidence from a crime scene, or make the analysis and examination of evidence difficult
or impossible to conduct.
42 Data Destruction and Antirecovery Techniques. Offenders use data destruction tech-
niques to make their incriminating data impossible to recover even after using specialized tools
for data recovery. There are three ways in which a user can destroy his/her data stored on digital
devices: •Physical destruction: In this type, digital storage media (like hard drives, memory sticks,
magnetic tapes, CDs, DVDs and Blu-ray discs, credit cards) are destroyed physically to avoid re-
covery. The equipment used in this case is called “hard drive shredders” or “destroyers.” •Degauss-
ing technique: This technique works by exposing the magnetic storage devices such as HDD or
the magnetic tape to the powerful magnetic field of a degausser to eliminate magnetically stored
data. This method is valid only to destroy data stored on magnetic devices and cannot destroy data
stored on SSD and USB thumb drives. •Logical destruction (sanitizing): This is the most commonly
used technique to destroy data. It uses a wiping tool to destroy data without affecting the hardware
that holds this data. Please note that although this technique offers a high level of secure erasure,
it still cannot guarantee 100% removal of data from some type of storage media (especially the
magnetic storage media like HDD and tapes), as some hardware-based techniques can recover
data even after it is wiped with disk sanitization tools.
68
mazenados magneticamente. É importante ressaltar que esse método
não funciona em dispositivos SSD e nem USB, apenas em dispositivos
magnéticos.
• Destruição lógica é a técnica mais comumente utilizada para
destruir dados por meio de ferramentas de limpeza e que não afetam o
hardware que contém esses dados. Entretanto, essas ferramentas não
podem garantir 100% de remoção dos dados, pois algumas técnicas de
baseadas em hardware que podem recuperar dados mesmo depois de
ter ser limpo, ou seja ter tido seus dados deletados por esse tipo ferra-
mentas.
69
a ferramenta. Em seguida digite o comando: steghideembed -cf ..\li-
vro.jpg -ef ..\segredo.txt para adicionar a imagem coruja à mensagem
secreta que está no arquivo secret.txt, conforme ilustra a Figura 26.
70
Figura 27- Comparação entre as duas Imagens: livro_original.jpg (sem men-
sagem oculta) e livro.jpg (com um texto oculto)
71
• Passo 4: Para extrair a informação escondida na imagem
livro.jpg, basta digitar esse comando no prompt: steghideextract -sf ..\
livro.jpg, conforme ilustra a Figura 28. Após esse passo conseguirá vi-
sualizar o texto que foi incorporado à imagem livro.jpg, conforme ilustra
a Figura 29.
72
ples (texto legível) para um texto cifrado (texto ilegível) e vice-versa.
Dessa forma, as informações ficarão embaralhadas e estarão visíveis
apenas para as pessoas que possuem a chave correspondente para
descriptografar – visualizar/recuperar as informações desejadas. De
acordo com Hassan (2019) existem dois tipos principais de sistemas
criptográficos (Hassan, 2019, pg. 303 e pg. 304, tradução nossa47).
• Criptografia simétrica: Também conhecida como criptogra-
fia de chave secreta (SKC - Secret Key Cryptography), neste tipo, tanto
o emissor (remetente), quanto o receptor (destinatário) usam a mesma
chave para criptografar e descriptografar os dados, ou seja, uma chave
compartilhada, conforme ilustra a Figura 30. Logo, se a chave chegar
até mãos erradas comprometerá todo o software.
• Criptografia assimétrica: também conhecida como cripto-
grafia de chave pública (PKC - Public Key Cryptography), nesse tipo
são utilizadas duas chaves distintas: uma para criptografia e outra para
descriptografia. Uma delas deve ser mantida como secreta, mas a outra
pode ser pública, conforme ilustra a Figura 30.
73
Figura 30 – Criptografia Simétrica versus Criptografia Assimétrica
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
PROCEDIMENTOS DE INVESTIGAÇÃO
74
de Três A’s, por causa de cada uma das fases ter o seu nome iniciado
com a letra A na escrita em inglês e também no português, sendo elas:
Adquirir (Acquire), Autenticar (Authentication) e Analisar (Analyze).
• O modelo proposto pela Universidade de Yale, que foi de-
senvolvido por Casey, que era o supervisor de segurança dos sistemas
de TI dessa universidade. Esse modelo possui seis estágios, que são:
(i) consideração preliminar; (ii) planejamento; (iii) reconhecimento; (iv)
preservação, coleta e documentação; (vi) classificação, comparação e
individualização; e (vi) reconstrução.
• O modelo elaborado por Rodney McKemmishem 1999, sendo
a complementação de uma pesquisa internacional sobre computação
forense iniciado por Donald Mackay Churchill de 1998 (MOHAY, 2003,
pg. 381, tradução nossa50). Esse modelo é composto por apenas quatros
fases, que são: coleta, extração, análise e apresentação (documenta-
ção). Dentre esses modelos apresentados por Lin (2018) será descrito
em mais detalhes o modelo proposto por McKemmish, que é citado por
diversos autores na literatura forense, dentre eles o autor Kent e seus
amigos (KENT et al., 2006).
75
1. Coleta: A coleta (a identificação) das evidências digitais é a
primeira etapa do processo forense. Saber quais evidências estão pre-
sentes, onde e como estão armazenadas é essencial para determinar
quais processos devem ser empregados para facilitar a recuperação
das informações. Além disso, o perito forense deve ser capaz de iden-
tificar o tipo de dado armazenado no dispositivo digital e o formato em
que está armazenado. Dessa forma, é possível identificar a tecnologia
apropriada para extrair os dados (McKemmish, 1999, s/ pg, tradução
nossa53).
76
cessamento para que sejam extraídos de uma maneira que seja com-
preendida pelas pessoas (McKemmish, 1999, s/ pg, tradução nossa54).
4. Apresentação: É a fase em que são apresentados os resul-
tados da análise, ou seja, é feita a transformação dos dados em evidên-
cias, que podem ser usadas para ajudar a processar uma pessoa ou
organização específica ou mesmo conhecimento na geração de novas
provas para um determinado caso (McKemmish, 1999, s/ pg, tradução
nossa55). Por exemplo, um pacote de software de terceiros (como o Of-
fice 365) pode ser utilizado para exibir/reprodução dos dados contidos
no documento apresentado como o resultado da análise. Entretanto,
podem haver problemas, como exemplificado a seguir (McKemmish,
1999, s/ pg, tradução nossa56):
77
Documetário sobre o assunto: Principais erros na investigação
Disponível no link: https://www.linkedin.com/pulse/os-erros-
-na-per%C3%ADcia-criminal-paulo-akira-kunii/?originalSubdomain=pt
e também no link
https://newyorkcomputerforensics.com/common-mistakes/
78
co rígido. Os sistemas de arquivos suportados por essa ferramenta são:
NTFS, FAT, exFAT, YAFFS2, UFS 1, UFS 2, Ext2, Ext3, Ext4, Ext2FS,
Ext3FS, HFS e ISO 9660 (HAYES, 2020, pg. 167, tradução nossa59).
Segundo a documentação oficial da ferramenta The Sleuth Kit60 (Aces-
so em: 05/12/2020) ela funciona nos sistemas operacionais: Linux, Mac
OS X, Windows, Open & FreeBSD e Solaris. Autopsy é uma plataforma
forense digital gratuita, uma interface gráfica para a The Sleuth Kit e
também para outras ferramentas forenses. Essa plataforma permite que
os peritos investiguem o que aconteceu em um computador, podendo
ser utilizada até para recuperar fotos do cartão de memória da câmera
(Sleuth Kit61, acesso em: 05/12/2020, s/pg., tradução nossa62). A Figura
32 apresenta a tela da plataforma Autopsy.
59 The Sleuth Kit (TSK): The Sleuth Kit is an open-source computer forensics tool that is
comprised of a group of command line tools. The tool allows an investigator to examine file systems
and a hard disk drive’s volume. This tool supports NTFS, FAT, exFAT, YAFFS2, UFS 1, UFS 2, Ext2,
Ext3, Ext4, Ext2FS, Ext3FS, HFS and ISO 9660 file systems.
60 Disponível em: <http://www.sleuthkit.org./sleuthkit/desc.php>
61 Disponível em: <https://www.sleuthkit.org/autopsy/>
62 Autopsy is a digital forensics platform and graphical interface to The Sleuth Kit and other
digital forensics tools. It is used by law enforcement, military, and corporate examiners to inves-
tigate what happened on a computer. You can even use it to recover photos from your camera’s
memory card.
79
Figura 32 – Tela da Plataforma Autopsy
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
80
forma (Windows e Linux); (ii) interface de análise simples e intuitiva; (iii)
alta escalabilidade, que permite que seja utilizada em número ilimitado
de computadores; (iv) arquitetura multithread; (v) e processamento em
batch, que auxilia na análise de grandes volumes de dados.
De acordo com DPF68(2018) as principais funcionalidades da
ferramenta IPED são: (i) OCR (Reconhecimento ótico de caracteres)
de imagens (.jpg, .tif, .png e .bmp) e arquivos PDFs para extrair infor-
mações dos arquivos; (ii) recuperação e, consequentemente, acesso a
arquivos deletados; (iii) identificação de Arquivos Criptografados; (iv) a
categorização dos arquivos; (v) visualização de texto filtrado para qual-
quer formato; (vi) cruzamento de informações; e (vii) geração de relató-
rio HTML, conforme ilustra na Figura 34 a tela de geração de relatórios
em HTML.
key characteristics of the tool are: Command line data processing for batch case creation; Multi-
platform support, tested on Windows and Linux systems; Portable cases without installation, you
can run them from removable drives; Integrated and intuitive analysis interface; High multithread
performance and support for large cases: up to 135 million items as of 12/12/2019.
68 DPF é a sigla para Departamento de Polícia Federal.
81
Figura 34 – Geração de Relatórios HTML na Ferramenta IPED
82
(Acesso em: 04/12/2020, s/pg., tradução nossa71) a ferramenta EnCase
foi nomeada a Melhor Solução Computacional Forense por dez anos
consecutivos pela SC Magazine devido as suas características: veloci-
dade, flexibilidade e funcionalidade. Ainda de acordo com a Guidance
Software (Acesso em: 04/12/2020, s/pg., tradução nossa72) “nenhuma
outra solução oferece o mesmo nível de funcionalidade, flexibilidade ou
histórico de aceitação em tribunal”. Segundo Cole e Johnson (2020) a
ferramenta EnCase se ficou mais conhecida após torna-se manchete
de jornais no ano de 2002, pois a EnCase foi utilizada para examinar os
computadores do David Alan Westerfield73 afim de encontrar evidências
de pornografia infantil. Outro fato que contribuiu para a popularização
dessa ferramenta deu-se quando foi utilizada pela polícia francesa para
encontrar e-mails importantes do terrorista Richard ColvinReid74, tam-
bém conhecido como o Shoe Bomber. A Figura 35 ilustra uma das telas
da ferramenta EnCase.
De acordo com a documentação oficial da ferramenta EnCa-
se Guidance Software75 (2020, s/pg., tradução nossa76) ela possui as
seguintes vantagens: (i) aquisição confiável de evidências digitais, pois
há garantia da integridade das evidências. Além do mais, a ferramen-
ta tem a capacidade de descobrir evidências que podem passar des-
83
sendo apoiada pela Inteligência Artificial (IA). Assim, os peritos podem
filtrar por nível de confiança, que é praticamente quase zero de falsos
positivos e identificar crimes como o contrabando; e (iv) coleta de dados
dos repositórios de dados na nuvem, como Microsoft 365 e SharePoint.
84
• Kit de ferramentas forenses (FTK- Forensic Toolkit): tra-
ta-se de um conjunto de ferramentas investigativas que são necessá-
rias para a condução de investigações digitais de forma mais rápida,
inteligente e eficaz. Essa ferramenta pertence à empresa AccessData
FTK, portanto, possui licença que é paga e, dessa forma, o usuário terá
acesso a diversos recursos como relatórios, descriptografia de arquivos
e esculpimento de arquivos (file carving, em inglês), que é o processo
de identificar um arquivo por determinadas características, como um
cabeçalho ou rodapé do arquivo ao invés da extensão do arquivo ou por
meio dos metadados (HAYES, 2020, pg. 169, tradução nossa78).
Atualmente, a ferramenta FTK Imager pertence ao kit FTK,
que permite ao usuário criar uma imagem forense de um dispositivo de
armazenamento (HDs, CDs, DVDs, pen drives ou outros dispositivos
USB) e visualizar o conteúdo do sistema de arquivos (HAYES, 2020, pg.
169, tradução nossa79). Além disso, permite que recupere arquivos que
foram excluídos da lixeira (do computador), entretanto, desde que eles
não tenham sido sobrescritos, crie hashes de arquivos para averiguar
a integridade dos dados através de uma das duas funções: Message-
-Digest algorithm 5 (MD5) e Secure Hash Algorithm 1 (SHA-1), exporte
arquivos e pastas de imagens forenses, gere relatórios de hash para
78 The full version of FTK is not free, but it has many other features, including comprehen-
sive reporting, file decryption, and file carving. File carving is the process of identifying a file by
certain characteristics, like a file header or footer, rather than by the file extension or metadata.
79 A free version of the software, called FTK Image, is also available. It can be downloaded
to a USB flash drive or burned to a CD. This tool allows the user to create a forensic image of a
storage device and view the contents of the file system using the built-in hex editor. Beyond that, it
has very few capabilities.
80 Disponível em: <https://marketing.accessdata.com/l/46432/2020-09-24/8l45td>
85
Documentário sobre o assunto: FTK- Forensic Toolkit
Disponível no link: https://accessdata.com/products-services/
forensic-toolkit-ftk e também no link: https://accessdata.com/products-
-services/forensic-toolkit-ftk/ftkimager
86
QUESTÕES DE CONCURSOS
QUESTÃO 1
Ano: 2017 Banca: FUNDATEC Órgão: IGP-RS Prova: Perito Crimi-
nal – Computação Forense. Nível: Média.
Conhecer sistemas de arquivos é fundamental para o perito da
área de Computação Forense, pois pode auxiliar o perito criminal a
elucidar a origem e o destino de um vestígio cibernético. Qual das
alternativas abaixo NÃO é um sistema de arquivos?
a) FAT32.
b) F2FS.
c) GFS.
d) HFS+.
e) PCAP.
QUESTÃO 2
Ano: 2017 Banca: FUNDATEC Órgão: IGP-RS Prova: Perito Crimi-
nal – Computação Forense.
A Seção de Computação Forense da Polícia Científica do Paraná
desenvolveu a ferramenta forense MobileMerger com a função de
QUESTÃO 3
Ano: 2018 Banca: FAURGS Órgão: BANRISUL Prova: Segurança
de Tecnologia da Informação Nível: Difícil.
87
Considere o texto abaixo, em relação à análise forense.
Uma pessoa que trabalha em um banco foi designada, de forma
imediata, para ir à casa de um cliente para coletar dados do compu-
tador, com a finalidade de investigar possível fraude bancária. Ao
chegar ao local, verifica que o Windows ainda está ativo, apresen-
tando mensagem suspeita.
De acordo com o relato, qual das atividades abaixo NÃO deve ser
realizada?
a) Conectar imediatamente um HD externo ao computador e copiar a
pasta C:\ para o seu HD.
b) Desligar a máquina da tomada e remover fisicamente o HD da máqui-
na do usuário para realizar uma cópia.
c) Desligar fisicamente a máquina da tomada e reiniciá-la a partir de um
HD externo.
d) Conectar um pen-drive, especialmente preparado, com o objetivo de
realizar uma cópia da memória RAM do computador.
e) Tirar fotografias da tela do computador no momento em que se che-
gar à casa.
QUESTÃO 4
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
QUESTÃO 5
Ano: 2017 Banca: FUNDATEC Órgão: IGP-RS Prova: Perito Crimi-
nal – Computação Forense. Nível: Difícil.
Peritos criminais da Seção de Computação Forense foram desig-
nados para realizar exame na rede de computadores de uma em-
presa que estaria sendo alvo de crimes cibernéticos. Enquanto es-
88
tava ocorrendo o suposto ataque, os peritos criminais coletaram
o tráfego de rede do local examinado. Nesses vestígios coletados,
os peritos criminais identificaram pacotes que eram direcionados
para um DNS que não era de uma autoridade real; sempre que os
usuários tentavam acessar a página na internet de um determinado
banco, eram redirecionados para uma página de escolha do crimi-
noso. Analisando o servidor de DNS, os peritos constataram que
foi adicionado um registro de DNS falso no cache do servidor de
DNS que redirecionava os usuários para sites falsos. Com base
nos fundamentos de investigação em redes de computadores, as-
sinale a alternativa que explica o redirecionamento de DNS e a pro-
vável técnica utilizada pelos criminosos.
a) Os criminosos usaram a técnica de envenenamento de DNS ou DNS
Poisoning.
b) A técnica utilizada pelos criminosos é conhecida como DNS oculto ou
DNS redirection.
c) Este é um caso clássico em que o criminoso utilizou de injeção de
SQL ou SQL injection.
d) Os vestígios coletados pelos peritos criminais apontam para uma téc-
nica conhecida como roubo de sessão ou DNS sessioninjection.
QUESTÃO 6
Ano: 2020 Banca: INSTITUTO AOCP Órgão: Prefeitura de Novo
Hamburgo - RS Prova: Técnico de Informática. Nível: Fácil.
Entre os tipos de criptografia, aquele que utiliza uma mesma chave
para ocultar a informação assim como para que possa ser exibida
recebe o nome de
a) Simplex.
b) Equalizada.
c) Singular.
d) Simétrica.
e) Assimétrica.
TREINO INÉDITO
NA MÍDIA
NA PRÁTICA
91
A crescente evolução dos equipamentos digitais, principalmen-
te, dos smartphones, contribuiu largamente para o aumento do uso da
Internet. Consequentemente, essa popularização ampliou a frequência
dos ataques de cibercriminosos.
Esse ambiente de insegurança, no qual os dados estão inse-
ridos e trafegam entre softwares e nas redes de computadores, requer
cada vez mais que empresas adotem recursos para proteger os seus
dados, como por exemplo: o controle de acesso, autenticação multifator
(MFA), criptografia etc.
Entretanto, quando não é possível prevenir/evitar esses ata-
ques; a solução é a aplicação das técnicas de computação forense, que
tem como objetivo ajudar a resolver e a diminuir os cibercrimes. Para
isso, a computação forense conta com o processo de coleta, extração,
análise e apresentação de evidências digitais que podem ser encon-
tradas em todos os equipamentos digitais. Assim, como para provas
físicas (provas tradicionais), as evidências digitais também devem obe-
decer às mesmas restrições. Principalmente, as leis que se referem a
duas questões: a integridade e a autenticidade das evidências.
Graças às tecnologias existentes, é possível termos diversas
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
92
GABARITOS
CAPÍTULO 01
QUESTÕES DE CONCURSOS
01 02 03 04 05 06
E A E C D C
QUESTÕES DE CONCURSOS
01 02 03 04 05 06
E D E E C C
Aplicação.
É uma referência em torno da qual as É de certa forma uma implementação
redes são construídas, isto é, utiliza- do modelo OSI.
da como uma ferramenta de orienta-
ção.
TREINO INÉDITO
Gabarito: A
94
CAPÍTULO 03
QUESTÕES DE CONCURSOS
01 02 03 04 05 06
E D A B A D
TREINO INÉDITO
Gabarito: A
95
ANDRÉ L. 2019. O Que é SSH e Como Funciona? Disponível em: <ht-
tps://www.weblink.com.br/blog/tecnologia/acesso-ssh-o-que-e/>. Aces-
so em: 11/12/2020.
GARRETT, Filipe. 2018. O que é access point? Veja para que serve o
ponto de acesso de Wi-Fi. Disponível em: <https://www.techtudo.com.
br/noticias/2018/06/o-que-e-access-point-veja-para-que-serve-o-ponto-
-de-acesso-de-wi-fi.ghtml>. Acesso em: 11/12/2020.
96
HASSAN, Nihad A. Digital Forensic Basics: A Practical Guide Using
Windows OS. Apress, 2019.
97
MCKEMMISH, Rodney.What is Forensic Computing? Australian Insti-
tute of Criminology. Australia, 1999. Disponível em: <https://www.aic.gov.
au/sites/default/files/2020-05/tandi118.pdf>. Acesso em: 30/11/2020.
99
ESTUDO SOBRE REDES DE COMPUTADORES E FORENSE COMPUTACIONAL - GRUPO PROMINAS
100