SóProvas


ID
2624242
Banca
CESPE / CEBRASPE
Órgão
ABIN
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à análise de linha do tempo e à aquisição de dados em memória, julgue o seguinte item.


A extração de uma imagem da memória de um sistema, conhecida como dump de memória, permite identificar os processos que estavam em execução no momento da extração, bem como os arquivos, as bibliotecas, chaves de registro ou sockets em uso por cada processo.

Alternativas
Comentários
  • Gabarito Certo

    memory dump ou despejo de memória é uma reprodução de tudo o que está na memória em um determinado momento da execução do programa. Em geral isto é feito em um momento de erro.

    O despejo normalmente trata da reprodução física da memória e é muito importante me linguagens de nível um pouco mais baixo (Assembly, C, C++, etc.) que tem acesso total à memória e pode produzir resultados inesperados.

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Fazer um dump da memória RAM é como “congelar” o estado da memória e salva-la num arquivo, que nada mais é, que um clone fidedigno da memória RAM, salvando assim todos os dados que estavam alocados na memória no momento do dump.

    Um dump de memória RAM, serve para análise de possíveis malwares alojados na RAM, como também para descobrir o que estava sendo feito naquele dispositivo utilizando os dados voláteis encontrados.

    Todas as informações presentes em memória RAM, por serem voláteis serão perdidas assim que o dispositivo em questão for desligado, e qualquer ação no dispositivo ligado altera o estado da memória, pois estará enviando novos dados a memória, como por exemplo ao executar um programa.

    A volatilidade dar-se pela perda de informação ao ser desligado um dispositivo tecnológico, assim como a capacidade de recuperação ou validação dos dados, diminuindo a veracidade e possivelmente impedindo que tenha algo de valor probatório em juízo.

    Usaremos os softwares FTK Imager para fazer o dump e o Volatility Framewok para análise do dump, o FTK Imager será utilizado no Windows para realizar o dump, o Volatility no Linux para análise

    É possível extrair da memória RAM:

    Processos em execução;

    Sockets de rede;

    Conexões abertas de rede;

    Arquivos e DLLs carregadas para cada processo;

    Registros utilizados para cada processo;

    Módulos de Kernel do Sistema Operacional;

    Mapeamento de endereços físicos e virtuais;

    Mapa de memória de cada processo.

    FONTE: https://www.lucasthyerre.com.br/2018/06/01/o-que-nos-pode-revelar-a-memoria-ram/