Treinamento de Investigação Forense Digital 427 Prova de pré-requisitos Nesse módulo é importante que o aluno esteja familiarizado com os seguintes tópicos: Leitura básica em Inglês Técnico; Conhecimentos em Sistemas Linux; Conhecimentos em Sistemas Windows; Conhecimentos básicos de TCP/IP (sobre o cabeçalho IP, UPD e TCP e sobre como funciona a conexão de serviços TCP e UDP); Configuração de devices; Utilização do editor de texto vim ou vi; Utilização de serviços de administração remota; Conhecimento de ferramentas de rede e segurança; Conhecimento de Hardening de servidores; Conhecimento de técnicas de Teste de Invasão; 1 - Quando falamos sobre senhas, o que é considerado um ataque de força bruta? A. Você tenta todas as possibilidades únicas, até cobrir todas as combinações possíveis ou descobrir a senha B. Você ameaça alguém, a menos que revele a sua senha C. Você usa um dicionário de palavras em seu programa de cracking D. Você cria hashes de um grande número de palavras e compara-os com as senhas criptografadas C. Você espera até que a senha expire 2 - Quais das seguintes opções são ferramentas bem conhecidas de quebra de senha? (escolha todas que se aplicam) A.L0phtcrack B.NetCat C.Jack the Ripper D.Netbus E.John the Ripper 3 - O conteúdo a seguir é um cabeçalho de e-mail. Qual é o endereço da verdadeira origem da mensagem? Return-Path: <bgates@microsoft.com> Received: from smtp.com (fw.emumail.com [215.52.220.122].
by raq-221-181.ev1.net (8.10.2/8.10.2. with ESMTP id h78nin404807 for <mikeg@thesolutionfirm.com>; Sat, 9 Aug 2003 18:18:50-0500 Received: (qmail 12685 invoked from network.; 8 Aug 2003 23:25:25-0000 Received: from ([19.25.19.10]. by smtp.com with SMTP Received: from unknown (HELO CHRISLAPTOP. (168.150.84.123. by localhost with SMTP; 8 Aug 2003 23:25:01-0000 From: "Bill Gates" <bgates@microsoft.com> To: "mikeg" <mikeg@thesolutionfirm.com> Subject: We need your help! Date: Fri, 8 Aug 2003 19:12:28-0400 Message-ID: <51.32.123.21@CHRISLAPTOP> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_nextpart_000_0052_01c35de1.03202950" X-Priority: 3 (Normal. X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook, Build 10.0.2627 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165 Importance: Normal A.19.25.19.10 B.51.32.123.21 C.168.150.84.123 D.215.52.220.122 E.8.10.2/8.10.2 4 - Para qual fim a ferramenta Firewalk é utilizada? A.Testar o funcionamento de um IDS B.Testar o funcionamento de um firewall C.Determinar quais regras existem em um firewall D.Testar a configuração de um webserver E.Firewalk é uma ferramenta de auto-configuração de firewall 5 - Qual o tipo de mensagem ICMP é utilizada para destino inalcançável? A.0 B.3 C.11 D.13 E.17
6 - Qual das seguintes ferramentas é utilizada para teste automatizado de vulnerabilidades? A.Whack a Mole B.Nmap C.Nessus D.Kismet E.Jill32 7 - Se enviarmos um SYN para uma portga aberta, qual é a resposta correta que será recebida? (escolha todas que se aplicam) A.SYN B.ACK C.FIN D.PSH 8 - Qual é a resposta correta para um FIN enviado à uma porta fechada? A.SYN B.ACK C.FIN D.PSH E.RST 9 - O que Trinoo, TFN2k, WinTrinoo, T-Sight e Stracheldraht tem em comum? A.Todas são ferramentas desenvolvidas pelo grupo "legion of doom" B.Todas são ferramentas que podem ser utilizadas nã apenas por hackers, mas por profissionais de segurança tambeḿ C.Todas são ferramentas de DDoS D.Todas são ferramentas que são efetivas apenas contra Windows E.Todas são ferramentas efetivas apenas contra Linux 10 - Você encontra as seguintes entradas no log de seu servidor web. Cada uma delas mostra a tentativa de acesso do root.exe ou cmd.exe. Qual a causa disso? GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /msadc/..%5c../..%5c../..%5c/..xc1x1c../..xc1x1c../..xc1x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..xc1x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..xc0/../winnt/system32/cmd.exe?/c+dir GET /scripts/..xc0xaf../winnt/system32/cmd.exe?/c+dir GET /scripts/..xc1x9c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir A.Morris worm B.Vírus PIF C.Trinoo D.Nimda E.Code Red F.Ping of Death 11 - Qual o tipo de varredura do Nmap é mais confiável, porém mais visível, e mais detectável pelo IDS? A.SYN scan B.ACK scan C.RST scan D.Connect scan E.FIN scan 12 - é uma ferramenta que pode ocultar processos da lista de processos, pode ocultar arquivos, entradas no resgistro e interceptar tecas digitadas. A.Trojan B.RootKit C.DoS tool D.Scanner E.Backdoor 13 - Qual é a principal vantagem que um cracker obtém ao utilizar encriptação ou programas como o Loki? A. Permitir uma maneira fácil de obter privilégios de administrador B. É mais efetivo contra computadores com Windows C. Diminui a efetividade de resposta de uma IDS D. Sistemas de IDS são incapazes de decriptá-lo E. O tráfego não será alterado durante seu trânsito
14 - Qual tipo de estrutura de sistema de arquivos é encontrado em disquetes? A. NTFS B. FAT32 C. FAT16 D. FAT12 15 - Que tipo de ataque quando um atacante força um roteador a para de encaminhar pacotes através de inundação do mesmo com muitas conexões simultâneas, de forma que todos os hosts por detrás do roteador fiquem indisponíveis? A. ataque digital B. negação de serviço C. ataque físico D. redirecionamento de ARP 16 - No contexto do processo de exclusão de arquivos, qual dentre as seguintes declarações é verdadeira? A. Quando arquivos são deletados, os dados são sobreescritos e os clusters marcados como disponíveis B. Quanto mais tempo um disco estiver em uso, menos provável será que um arquivo apagado seja sobreescrito C. Enquanto inicializa, a máquina pode criar arquivos temporários que podem sobreescrever arquivos apagados D. Programas de exclusão segura de dados podem sobreescrever completamente os dados em apenas uma execução 17 - Quando examinando os arquivos de log do Windows Web Server IIS, quão frequentemente um novo arquivo de log é criado? A. o mesmo log é usado todas as vezes B. um novo arquivo de log é criado todos os dias C. um novo arquivo de log é criado à cada semana D. um novo log é criado cada vez que o Web Server é iniciado 18 - Qual parte do registro do Windows contém o arquivo de senha do usuário? A. HKEY_LOCAL_MACHINE
B. HKEY_CURRENT_CONFIGURATION C. HKEY_USER D. HKEY_CURRENT_USER 19 - Um empregado está tentando utilizar uma ferramenta para excluir de maneira segura dados armazenados em dois CDs e DVDs utilizando grandes ímãs. Você informa à ele que esse método não é efetivo porque CDs e DVDs são mídias usadas para armazenar grandes quantidades de dados e não são afetados por ímãs (magnetos). A. lógicas B. anti-magnéticas C. magnéticas D. óticas 20 - O que acontece quando um arquivo é deletado pelo sistemas operacional Micrsofot Windows utilizando o sistema de arquivos FAT? A. apenas a refrência do arquivo é removida da FAT B. o arquivo é pagado e não pode ser recuperado C. uma cópia do arquivo é armazenada e o arquivo original é apagado D. o arquivo é apagado mas pode ser recuperado 21 - Qual termo é usado para descrever uma técnica criptográfica para inserção de informações em outras já existentes apenas para o propósito de ocultar a primeira de um observador casual? A. rootkit B. key escrow C. esteganografia D. Offset 22 - Qual tipo de codificação binária é frequentemente utilizada em e-mails? A. MIME B. Uuencode C. IMAP D. SMTP
23 - Setores em discos rígidos normalmente contém quantos bytes? A. 256 B. 512 C. 1024 D. 2048 24 - Qual Intrusion Detection System (IDS) normalmente produz falsos alarmes devido a comportamentos imprevistos de rede e usuários? A. network-based IDS systems (NIDS) B. host-based IDS systems (HIDS) C. anomaly detection D. signature recognition 25 - Documentos do Microsoft Office (Word, Excel e PowerPoint) contém um código que permite rastrear o MAC, ou identificador único, da máquina que criou o documento. Cmo esse código é chamado? A. Microsoft Virtual Machine Identifier B. Personal Application Protocol C. Globally Unique ID D. Individual ASCII String 26 - O que o superbloco em um sistema Linux define? A. nome de arquivos B. geometria do disco C. lozalização do primeiro inode D. espaço disponível
Gabarito: 1 - A 2 - A, E 3 - C 4 - C 5 - B 6 - C 7 - A, B 8 E 9 - C 10 - D 11 - D 12 - B 13 - D 14 - D 15 - B 16 - C 17 - A 18 - A 19 - D 20 - A 21 - C 22 - A 23 - B 24 - B 25 - C 26 - C