Para tentar esconder evidências de um comprometimento de um ...

Próximas questões
Com base no mesmo assunto
Q1902445
Sistemas Operacionais Segurança de sistemas operacionais ,
Ano: 2022 Banca: FGV Órgão: PC-AM Prova: FGV - 2022 - PC-AM - Perito Criminal - 4ª Classe - Processamento de Dados |
Q1902445 Sistemas Operacionais
Para tentar esconder evidências de um comprometimento de um sistema Windows 10, o invasor apagou alguns arquivos que estavam no disco C, que foram para a lixeira do Windows. Posteriormente, na análise forense desse sistema, o perito procurou verificar o caminho original desses arquivos e a data em que foram removidos.
O perito pode conseguir essas informações 
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Gabarito: Alternativa C

A questão aborda a análise forense em sistemas operacionais, especificamente em um ambiente Windows 10. O cenário apresentado é sobre a tentativa de um invasor de esconder evidências de comprometimento ao apagar arquivos, que foram movidos para a lixeira do sistema.

Para resolver a questão, é necessário ter conhecimento sobre a estrutura de armazenamento dos arquivos na lixeira do Windows e como os metadados desses arquivos são gerenciados. Esses metadados incluem o caminho original dos arquivos e a data de remoção.

No Windows 10, quando um arquivo é movido para a lixeira, ele não é simplesmente apagado. Em vez disso, ele é renomeado e movido para a pasta C:\$Recycle.BIN. Cada usuário do sistema tem uma pasta específica dentro desse diretório, correspondente ao seu SID (Security Identifier).

Dentro dessa estrutura, os arquivos na lixeira são acompanhados por metadados armazenados em arquivos que começam com "I$". Esses arquivos contêm informações sobre o nome original do arquivo, o caminho de onde ele foi movido, e a data em que foi deletado.

Portanto, a alternativa correta é:

C - nos arquivos com nomes iniciados com I$, localizados abaixo do diretório C:\$Recycle.BIN\*.

Esta alternativa está correta porque é nestes arquivos que são armazenados os metadados necessários para a análise forense, incluindo o caminho original e a data de remoção dos arquivos que foram movidos para a lixeira.

Espero que essa explicação tenha elucidado como você pode identificar e recuperar informações críticas durante uma análise forense em sistemas Windows. Se precisar de mais esclarecimentos, estou à disposição!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

Alguém pode comentar/explicar essa resposta, por gentileza?

 Atualmente quando um arquivo é excluído, dois arquivos são criados. O primeiro recebe o valor de $R e o segundo com $l, que possui o nome do caminho original do arquivo excluído, seu respectivo nome, tamanho e data de exclusão.

Segundo chat GPT: "Os metadados dos arquivos excluídos são armazenados no diretório $Recycle.BIN em arquivos com nomes INFO, os quais contêm informações sobre os arquivos excluídos, incluindo detalhes como caminho original, tamanho, data de exclusão, entre outros"

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo

Questões de assuntos semelhantes

Provas relacionadas