De acordo com a RFC 3227, que define diretrizes para coleta e arquivamento de evidências, a ordem de volatilidade das evidências deve ser considerada em uma coleta, iniciando-se pela mais volátil e seguindo até a menos volátil.
Segundo essa RFC, a ordem deve ser:

O procedimento forense denominado carving, que consiste em algoritmos de reconstrução de arquivos com base na recuperação de fragmentos e reconhecimento de conteúdos típicos, é oferecido em muitas ferramentas forenses.
Sobre esse procedimento, o analista forense deve considerar que:

A utilização de funções de resumo (hash) consiste na aplicação de algoritmos matemáticos que, dada uma entrada de dados de qualquer tamanho, produzem um único valor de tamanho fixo correspondente, com diversos empregos na computação.
Em relação ao uso de funções de hash em evidências digitais, é correto afirmar que:

Embora simples, o comando dd no Linux é de grande uso na computação forense, pois está presente mesmo nas distribuições mais simples e permite a cópia de dados com grande flexibilidade.
A respeito do comando dd, é correto afirmar que:

O analista André está avaliando a consistência do drive de dados de um dispositivo que roda o sistema iOS. Para apoiar tecnicamente sua avaliação, ele deve empregar ferramentas especializadas no sistema de arquivos utilizado atualmente pelo iOS.
Sendo assim, André deve empregar ferramentas especializadas em:

O analista Carlos está recuperando dados de um arquivo hive do registro do Windows, que está danificado. A fim de otimizar as chances de recuperação de dados legíveis do hive, Carlos decidiu recuperar o arquivo por blocos, tomando como base o tamanho de bloco padrão de um hive do registro do Windows.
O analista Carlos tomou como base o tamanho de bloco, em bytes, igual a:

A analista Joana deve investigar anomalias no tráfego da rede B do MPU. A rede B interliga os dispositivos por um switch padrão. A fim de facilitar a investigação, Joana decidiu capturar todos os pacotes trafegados por qualquer dispositivo da rede B (sniffing geral), utilizando apenas um software sniffer no computador PC, conectado à rede B. A analista executou um ataque controlado à rede B, fazendo com que o switch padrão se comportasse como um simples hub. Joana avaliou ainda se havia necessidade de definir a única placa de rede do PC, a IBNet, para operar no modo promíscuo.
Para cumprir o objetivo de investigar toda a rede B, Joana realizou um ataque do tipo:

A analista Juliana deve promover, no MPU, a realização de certas atividades previstas na norma NBR ISO/IEC 27001. Ela deve se certificar de que o MPU realize, de forma periódica, a avaliação de riscos da segurança da informação. A analista deve promover ainda a realização efetiva de auditorias internas, de forma recorrente.
As atividades que Juliana deve promover são, de fato, exigidas pela norma, nas seções principais de:

O analista João está implementando a comunicação entre dois sistemas digitais do MPU. O analista concluiu que a melhor técnica para a comutação entre os dois sistemas é aquela baseada em células.
João sabe que a técnica escolhida tem características consideradas como desvantagens, sendo uma delas o fato de a comutação de células:

O analista Pedro foi incumbido de analisar o mau funcionamento do compilador de software CMP+, utilizado no MPU. O CMP+ está apresentando erros na fase da compilação na qual é gerada a árvore de derivação, que guarda uma representação hierárquica do código-fonte.
Sabendo disso, Pedro deve concentrar sua análise do CMP+ na fase de: