Auditoria de Sistemas: Rootkits e Integridade - Aula 4.9

Pesquisa de Integridade & Rootkits

Complete a pesquisa teórica para validar sua atividade.

Seu Nome Completo:

1. Qual o diferencial de um Rootkit comparado a outros malwares?

Ele foca em destruir arquivos. Ele foca na invisibilidade e persistência profunda. Ele apenas exibe propagandas.

2. Em qual nível (Ring) o Rootkit de Kernel opera?

Ring 3 (Usuário). Ring 1 (Drivers virtuais). Ring 0 (Núcleo do SO).

3. O que o Rootkit altera para esconder arquivos do administrador?

A cor da pasta no Windows. As chamadas de sistema (System Calls) do Kernel. A conexão de rede Wi-Fi.

4. A técnica de "Hooking" serve para:

Interceptar e desviar o fluxo de funções do sistema. Aumentar a memória RAM via software. Limpar o cache do navegador.

5. Por que o Gerenciador de Tarefas não vê o processo do Rootkit?

Porque o processo é muito pequeno. Porque o Kernel "filtra" a lista de processos antes de mostrá-la. Porque o Rootkit desliga o Gerenciador.

6. O que significa "Perda de Integridade" em um sistema?

O sistema ficou lento. O sistema foi modificado e não é mais confiável em sua base. O computador não liga mais.

7. O DKOM (Direct Kernel Object Manipulation) atua na:

Manipulação direta de objetos na memória do Kernel. Troca de senha do usuário comum. Edição de documentos de texto.

8. Qual Rootkit é o mais difícil de remover (sobrevive à formatação)?

Rootkit de aplicação (.exe). Rootkit de Firmware (BIOS/UEFI). Rootkit de Macro do Word.

9. O que garante a integridade do boot (inicialização)?

O Adobe Reader. A Cadeia de Confiança (Secure Boot/TPM). O cabo de rede conectado.

10. Qual a ação recomendada ao detectar um Rootkit de Kernel?

Apenas passar um antivírus gratuito. Reinstalação total do SO (Wipe and Reload). Reiniciar o computador em modo de segurança.