Um analista forense coletou um arquivo de um servidor suspeito e calculou seu hash SHA-256 antes e após a transferência, tendo obtido o mesmo valor: hash original: a1b2c3d4e5f6... hash após transferência: a1b2c3d4e5f6... Ao abrir o arquivo, o analista verificou que parte do conteúdo estava corrompida, embora o tamanho do arquivo e os metadados permanecessem inalterados. Nessa situação hipotética, conforme os procedimentos forenses padrão, o referido analista deverá
- A)ignorar a corrupção, pois o hash comprova a autenticidade do arquivo.
- B)usar um algoritmo de hash diferente (como MD5) para verificar novamente o arquivo.
- C)registrar a inconsistência, coletar novamente o arquivo e verificar os hashes.GABARITO
- D)descartar imediatamente a evidência, devido à corrupção verificada.
- E)considerar a evidência válida porque o hash não foi alterado.
Explicação
**Explicação da Questão** **(1) Por que a alternativa C está correta** O hash SHA-256 é uma função criptográfica que gera um valor fixo a partir do conteúdo de um arquivo. Se dois hashes são idênticos, o conteúdo binário do arquivo é matematicamente igual nas ... Ver explicação completa e trilha adaptativa →