ANÁLISIS FORENSE 3EV

¿Qué característica diferencia principalmente a los sistemas Linux respecto a Windows en el análisis forense?. Utilizan exclusivamente interfaces gráficas. Requieren software propietario para leer logs. Utilizan una estructura de archivos más sencilla y legible. No se pueden analizar en frío.

¿Qué ventaja proporciona Linux al almacenar la información en archivos de texto?. Que sólo puede ser accedida por el sistema. Que se necesita menos memoria RAM. Que se puede analizar sin software especializado. Que no se necesita adquirir la memoria RAM.

¿Qué tipo de estructura utilizan los sistemas Linux para organizar los datos?. Árbol binario. Base de datos relacional. Estructura basada en servicios. Estructura jerárquica de ficheros.

¿Por qué se dice que no es necesario un programa por artefacto en Linux?. Porque Linux no tiene artefactos forenses. Porque los artefactos están encriptados. Porque la información suele estar en texto y es accesible directamente. Porque Linux no almacena información relevante.

¿Cuál de los siguientes sistemas de ficheros está considerado obsoleto?. Ext3. ReiserFS. Ext2. Ext4.

¿Qué característica principal introdujo Ext3 respecto a Ext2?. Soporte para archivos mayores a 16 TiB. Encriptación automática. Journaling para prevenir pérdida de datos. Compatibilidad con Windows.

Sistemas de ficheros de Unix. Ext2. Ext3. Ext4. ReiserFS. SWAP.

¿Cuál es una de las ventajas del sistema Ext4 frente a sus predecesores?. Solo funciona con unidades SSD. Mayor fragmentación de disco. Mayor eficiencia y soporte de archivos grandes. Requiere más CPU para funcionar.

¿Qué información contiene el superbloque?. Solamente los permisos de los archivos. El contenido de todos los archivos. Información general sobre el sistema de archivos. Listado de usuarios del sistema.

¿Dónde se almacenan finalmente los datos de cada archivo en Ext*?. En el superbloque. En los metadatos. En los bloques de datos. En la tabla de usuarios.

Con el comando stat podemos ver la fecha de la creación de un fichero. Verdadero. Falso.

¿Con que comando podemos ver el número de i-nodo de los sitemas de ficheros de las distribuciones gnlinux?. file. ls -i. stat. strings.

¿Qué comando nos permite consultar el número-i de un archivo en Linux?. chmod. stat. rm. grep.

Contiene los ejecutables esenciales accesibles por todos los usuarios, como ls o cp. /usr. /bin. /opt. /sbin.

Almacena el cargador de arranque y el kernel del sistema operativo. /boot. /proc. /root. /lib.

Contiene archivos que representan dispositivos físicos y virtuales. /var. /srv. /dev. /etc.

Directorio destinado a la configuración del sistema y de aplicaciones. /bin. /etc. /tmp. /home.

Es el directorio personal de cada usuario del sistema. /root. /srv. /usr. /home.

Contiene bibliotecas compartidas por varios programas del sistema. /lib. /media. /sbin. /tmp.

Aquí se guardan ficheros recuperados tras fallos del sistema de archivos. /lost+found. /opt. /proc. /var.

Se utiliza para montar medios extraíbles como USB o DVDs. /dev. /mnt. /media. /boot.

Almacena aplicaciones opcionales que no forman parte del sistema base. /usr. /opt. /sbin. /etc.

Sistema virtual que refleja el estado actual de los procesos. /proc. /tmp. /var. /home.

Es el directorio personal exclusivo del superusuario (root). /etc. /root. /home. /srv.

Contiene ejecutables esenciales exclusivos para el superusuario. /sbin. /bin. /usr/bin. /tmp.

Almacena datos que son servidos directamente por el sistema, como páginas web. /srv. /opt. /tmp. /lib.

Se usa para almacenar archivos temporales que pueden borrarse al reiniciar. /var. /tmp. /dev. /proc.

Contiene utilidades, bibliotecas y programas para múltiples usuarios. /usr. /root. /boot. /media.

Guarda archivos variables como logs, colas de impresión o bases de datos. /opt. /var. /etc. /proc.

Directorio dónde se encuentran los ficheros de configuración del sistema. /etc. /var/log. /root. /home/<user>.

Directorio dónde se encuentran los logs del sistema. /var/log. /etc. /root. /var/tmp.

Directorio home del usuario root. /home/<user>. /root. /etc. /var/tmp.

Directorio home del usuario. /home/<user>. /var/tmp. /var/log. /etc.

Porque un malware sin privilegios puede usarlos para escribir payloads. /tmp y /var/tmp. /root. /etc. /var/log.

¿Qué servicios pueden encargarse de la generación de logs en un sistema Linux?. systemd y journalctl. crond y ntpd. rsyslogd y syslog-ng. logrotate y sshd.

Fichero de log de propósito general, donde encontraremos información genérica del sistema. (Debian y derivados). syslog. messages. auth.log. kern.log.

Fichero de log de propósito general, donde encontraremos información genérica del sistema. (Red Hat y derivados). syslog. kern.log. auth.log. messages.

Registros de autenticación, de servicios o aplicaciones interactivas. auth.log. kern.log. btmp y wtmp. syslog.

Mensajes del kernel de Linux. También podemos usar comando dmesg. Aquí veremos drivers y mensajes de estado del SO. kern.log. auth.log. messages. syslog.

Ficheros binarios con información sobre las sesiones. btmp y wtmp. kern.log. auth.log. messages.

Comando ver intentos de acceso fallidos.

Comando ver intentos de acceso válidos.

Que afirmación es correcta sobre las sesiones del *nix podemos ver los últimos inicios de sesión correctos. Ejecutamos el comando last -b. Ejecutamos el comando last. Visualizando el fichero /var/log/btmp. Visualizando el fichero de texto /var/log/wdmp.

¿Qué tipo de registros analiza la herramienta AuthLogParser?. Registros de red de Windows. Registros del sistema de MacOS. Registros de autenticación de Linux. Registros de impresión en red.

¿Cuál es el archivo específico que analiza AuthLogParser?. system.log. syslog. access.log. auth.log.

¿Qué tipo de información extrae AuthLogParser del archivo de log?. Publicaciones en redes sociales. Información sobre el consumo de CPU. Inicios de sesión SSH, creaciones de usuarios, eventos, IPs. Estados de la batería y temperatura del sistema.

¿En qué lenguaje está escrita la herramienta AuthLogParser?. Python. Bash. PowerShell. Java.

¿Dónde se almacena la información del último inicio de sesión de cada usuario?. /var/log/syslog. /etc/login.defs. /var/log/lastlog. /home/user/.login.

¿En qué formato se encuentra el archivo /var/log/lastlog?. Texto plano. XML. Binario. JSON.

¿Qué comando se utiliza para interpretar el archivo /var/log/lastlog?. whoami. loginctl. w. lastlog.

¿Qué tipo de inicios de sesión contabiliza lastlog?. Todos los inicios, incluyendo entornos gráficos. Solo los de usuarios root. Solo los iniciados en consola (tty). Solo inicios remotos vía SSH.

¿Qué contiene el archivo /var/run/utmp?. Registro de todos los eventos del sistema. Historial de comandos de cada usuario. Registro binario de los usuarios actualmente conectados. Logs de conexiones externas.

¿Qué comandos utilizan la información del archivo /var/run/utmp?. ps y top. sudo y su. who y w. tail y grep.

Habitualmente se hace análisis forense de servidores (por ejemplo servidores web) se hace análisis forense de servidores... Verdadero. Falso.

¿Qué tipo de máquinas Linux se suelen analizar en forense según el texto?. Estaciones de trabajo de usuario. Máquinas de escritorio domésticas. Servidores. Dispositivos móviles Android.

¿Qué nombre suele tener el directorio donde están los logs de Apache?. /var/log/http. /var/log/apache*. /var/log/apache2_only. /var/log/apache_logs.

¿Qué tipo de información almacena el archivo access.log en Apache?. Comandos ejecutados por el administrador. Peticiones GET procesadas. Errores del sistema operativo. Accesos remotos por SSH.

¿Qué tipo de información contiene el archivo error.log de Apache?. Solo registros de actualizaciones. Información sobre configuraciones del sistema. Peticiones erróneas al servidor web. Datos sobre la base de datos.

¿Qué tipo de eventos registra error.log en MariaDB/MySQL?. Actualizaciones de plugins. Consultas exitosas. Intentos de inicio de sesión erróneos. Cambios en los permisos de archivos.

¿Qué utilidad tienen los logs de aplicación en el análisis forense?. Sirven solo para estadísticas de tráfico. No son útiles para forense. Permiten identificar actividades sospechosas o fallidas en los servicios. Sirven para hacer backups automáticos.

¿Cuál es el fichero más relevante que almacena los comandos introducidos por el usuario?. .bash_profile. .bashrc. .bash_log. .bash_history.

¿Qué tipo de archivo es .bash_history?. Binario. Cifrado. Texto plano. Comprimido.

¿Qué comando permite trabajar con el contenido de .bash_history de forma avanzada?. tail. logctl. history. grep.

¿Qué archivo registra comandos anteriores cuando se usa zsh como shell?. .zshrc. .zsh_profile. .zsh_history. .zsh_log.

¿Qué permite que estos archivos puedan ser alterados por el propio usuario?. Son de solo lectura. Están encriptados. Son fácilmente editables. Están protegidos por systemd.

Historial de comandos. HISTFILESIZE. HISTSIZE.

Los comandos de la shell actual sólo se pueden obtener mediante... análisis en vivo o extracción en caliente (Triage Live). extracción en frio.

¿Qué comando se puede usar para comparar el contenido de un archivo original y su copia?. compare. diff. filecmp. ls -la.

¿Dónde se almacenan los archivos abiertos recientemente con exploradores como Nautilus o Nemo?. /etc/nautilus/recent.log. $HOME/.cache/recently. $HOME/.local/share/recently-used.xbel. $HOME/.recently_opened.

¿Qué formato tiene el archivo recently-used.xbel?. JSON. XML. CSV. Binario.

¿Qué información adicional guarda recently-used.xbel además del archivo accedido?. Hora de apagado del sistema. Dirección IP del usuario. Aplicación utilizada para abrirlo. Ruta absoluta del escritorio.

¿Dónde se almacenan los archivos enviados a la papelera mediante entorno gráfico?. $HOME/.Trash. $HOME/.config/trash. $HOME/.local/share/Trash/files. $HOME/.local/share/Trash/info.

¿Dónde se almacenan los metadatos de los archivos movidos a la papelera?. $HOME/.local/share/Trash/info. $HOME/.local/share/Trash/files. $HOME/.local/share/Trash/logs. $HOME/.config/trash.

¿Qué contiene la subcarpeta expunged en la papelera?. Archivos ya eliminados del sistema. Copias de respaldo de los archivos borrados. Archivos que deberían haber sido eliminados pero quedaron “atascados”. Logs de errores del sistema.

¿Cómo deben eliminarse los archivos que permanecen en expunged?. Usando el explorador de archivos. Con el comando rm desde terminal. Con trash-empty. No pueden eliminarse.

¿Qué técnica es común para establecer una puerta trasera tras explotar una vulnerabilidad web?. Crear un script bash. Usar un Web Shell. Reiniciar el sistema. Instalar un antivirus.

¿Qué riesgo supone modificar el servicio SSH con credenciales hardcodeadas?. Solo afecta a la configuración de red. Facilita el acceso de administrador al atacante. Elimina todos los usuarios del sistema. Desactiva los firewalls.

¿Qué busca un atacante al intentar establecer persistencia en un sistema?. Apagar el sistema tras cada acceso. Asegurar que su malware se ejecute automáticamente tras reinicios. Eliminar todos los logs del sistema. Crear un nuevo sistema operativo.

¿Qué archivo contiene las claves públicas autorizadas para acceder a una cuenta en el sistema?. ~/.ssh/known_hosts. ~/.ssh/config. ~/.ssh/authorized_keys. ~/.bashrc.

¿Qué suelen hacer los atacantes para garantizar acceso persistente mediante SSH?. Modificar el archivo /etc/shadow. Añadir su clave pública al archivo authorized_keys. Borrar el historial de comandos. Instalar un keylogger.

¿Qué archivo registra los sistemas remotos a los que se ha conectado un usuario mediante SSH?. ~/.ssh/authorized_keys. ~/.ssh/hosts. ~/.ssh/known_hosts. ~/.ssh/connections.

¿Qué comando se utiliza para buscar una cadena específica dentro de un archivo o flujo de texto?. find. grep. strings. ls.

¿Qué comando permite buscar archivos en función de su nombre o fecha de modificación?. grep. locate. find. search.

¿Qué comando permite ver las últimas 10 líneas de un archivo por defecto?. tail. head. less. strings.

¿Cuál de los siguientes comandos permite paginar la visualización de un archivo de texto?. tail. head. more. echo.

¿Qué comando permite extraer solo cadenas de texto legibles de un archivo binario?. grep. strings. file. cut.

¿Qué comando sirve para identificar el tipo de un fichero (texto, ejecutable, imagen, etc.)?. type. identify. check. file.

Seleccione los comandos imprescindibles del análisis en los sitemas unix. ls. mv. find. grep.

¿Qué comando guarda la hora del sistema en formato local?. date -u. date. uptime. time.

¿Qué archivo se genera con date -u según el procedimiento?. fecha_UTC.txt. fecha_Hora.txt. fecha_Hora_UTC.txt. utc_fecha.txt.

¿Qué comando muestra el tiempo que lleva encendido el sistema en formato legible?. up -t. uptime -l. uptime -p. date -t.

¿Qué comando devuelve la fecha y hora actual del sistema?. time. now. date. clock.

¿Qué comando muestra la versión completa del kernel?. lsb_release. uname -a. kernel-version. getversion.

¿Qué comando se usa para ver detalles de la distribución?. lsb_release -a. distro -a. getdistro. cat /etc/kernel.

¿Qué comando muestra todos los procesos del sistema?. ls. lsof. ps -auxww. top -e.

¿Dónde se encuentra la configuración de DNS del sistema?. /etc/named.conf. /etc/hosts. /etc/resolv.conf. /etc/dns.conf.

¿Qué archivo indica el orden de resolución de nombres en Linux?. /etc/resolve. /etc/dns. /etc/host.order. /etc/nsswitch.conf.

¿Dónde se almacena la resolución estática de nombres?. /etc/nsswitch.conf. /etc/resolv.conf. /etc/hosts. /etc/hostname.

¿Cuál es el propósito del archivo /etc/nsswitch.conf?. Definir rutas. Ordenar prioridad de resolución. Definir IP. Controlar DHCP.

¿Qué comando muestra dispositivos actualmente montados?. df. mount. lsblk. blkid.

¿Qué comando muestra qué archivos están abiertos por procesos?. open. who. lsof. opened.

¿Para qué sirve lsof en análisis forense?. Ver procesos. Listar archivos abiertos. Ver memoria. Mostrar discos conectados.

El nombre del equipo Linux se extrae con el comando. hostname. uname. uptime.

Las tareas programadas en Linux se pueden extraer con el comando. crontab -l. lsof -n. at. arp -a.

Las particiones del sistema operativo podemos listarlas con. lsof -p. mount. mount -a. fdisk -l.

¿Qué comando o técnica se utiliza para identificar si un sistema usa SystemV o SystemD?. uname -a. Ver si el proceso init tiene PID 1. lsb_release -a. df -h.

¿Qué indica que un sistema usa SystemV en lugar de SystemD?. El proceso init no existe. El proceso init tiene PID 1. Se usa journalctl. Tiene el demonio systemd activo.

¿Qué ventaja tiene habitualmente SystemD sobre SystemV?. Es más seguro. Permite usar comandos de Windows. Tiene un arranque más rápido. Solo se usa en sistemas RedHat.

¿Cuál es la mejor herramienta para hacer análisis forense de servicios y arranques en sistemas SystemD?. top. initctl. systemctl. chkconfig.

¿Por qué no se debe confiar plenamente en los binarios del directorio /bin en un sistema comprometido?. Son solo accesibles por root. Pueden estar corruptos por actualizaciones del sistema. Pueden haber sido modificados por un atacante. Son solo enlaces simbólicos.

¿Qué significa “enjaularse” durante una investigación forense en una máquina comprometida?. Usar un contenedor para navegar de forma segura. Aislar la red del sistema. Asegurarse de que todo lo que ejecutamos sea legítimo y controlado. Instalar software antivirus antes de comenzar.

Siempre que sea posible, debemos utilizar binarios desde un medio ajeno al sistema operativo que está siendo analizado porque... No se debe acceder al sistema analizado. El sistema no tiene binarios para realizar un forense. Ninguna de las anteriores es correctas. Podría haber sido comprometido y los binarios del sistema pueden haber sido modificados.

¿Qué marca de tiempo representa la última modificación del contenido de un archivo?. atime. ctime. crtime. mtime.

¿Cuál marca de tiempo refleja la última vez que un archivo fue accedido?. mtime. crtime. atime. ztime.

¿Qué marca de tiempo se añade en sistemas de archivos ext4 pero no en ext3?. ctime. atime. crtime. mtime.

¿Qué comando permite ver la hora de creación (crtime) en sistemas ext4?. ls -lct. stat -c %x. debugfs -R "stat archivo" /dev/sdX. mount -o showtime archivo.

Qué afirmación es falsa en relación a los timestamps en sistemas de ficheros ext en distribuciones linux. El comando debugfs permite ver la fecha de creación en los sistemas de ficheros ext3. Mediante el comando touch podemos hacer labores antiforense modificando los atributos de tiempo o timestamp. El comando timedate nos proporciona información detallada sobre la fecha y la hora y está disponible en los sistemas que utilizan system t. En ext4 hay 4 marcas de tiempo.

Qué afirmación es verdadera en relación a los timestamp en sistemas de ficheros extendidos en distribuciones unix. El comando file podemos hacer labores antiforenses modificando los atributos de tiempo. En ext4 hay 3 marcas de tiempo. Los atributos de tiempo se almacenan junto con otra información en el i-nodo de cada fichero. En ext4 minuto 12.

Que afirmación es verdadera en relación al comando touch. El comando touch -m actualiza la fecha de último acceso. El comando touch no cambia el tiempo de modificación de los metadatos. El comando touch sin ninguna otra opción actualiza la fecha de último acceso, última modificación y la fecha de creación de un fichero. El comando touch -a actualiza la fecha de última modificación.

Qué afirmación es verdadera en relación a los sistemas de ficheros ext extendido en los sistemas unix. Los sistemas de ficheros ext4 tienen 4 marcas de tiempo o timestamps. Los sistemas de ficheros ext3 tienen 4 marcas de tiempo o timestamp. Cada fichero tiene asignado un inodo que es exactamente igual que los metadatos en los sistemas de ficheros ntfs. Los sistemas de ficheros ext2 tienen un soporte transaccional.

¿Qué comando se usa comúnmente para falsificar la fecha de modificación de un archivo?. chmod. date. touch. stat.

¿Qué opción de touch cambia únicamente la fecha de modificación (mtime)?. -a. -m. -d. -r.

Qué afirmación es verdadera en relación a la aplicación Autopsy. Es la principal plataforma forense digital opensource o de código abierto con todas las funciones principales que se esperan de las herramientas forenses comerciales. Es una aplicación de pago. De tsk o thesleuthkit es una opción más completa. Solo funciona en Windows y Mac.

¿Qué es Autopsy?. Un sistema operativo forense. Una distribución Linux. Una interfaz gráfica para The Sleuth Kit. Un visor hexadecimal.

¿En qué sistemas operativos se puede instalar Autopsy?. Solo en Windows. Solo en Linux. Solo en MacOS. Windows, Linux y MacOS.

¿Qué herramienta permite listar las particiones de una imagen de disco?. mmstat. mmls. mmcat. fsstat.

¿Qué comando se usa para ver las estadísticas de una imagen de disco a nivel de volumen?. mmstat. fsstat. blkstat. istat.

¿Cuál de estos comandos permite extraer bloques de una imagen de disco?. blkcat. ifind. icat. mmcat.

¿Qué comandos acceden a metadatos (como inodos) en TSK?. fsstat, fls. mmstat, mmcat. icat, ifind, istat, ils. blkstat, blkcat.

En relación a la captura de memoria ram de una máquina virtual. En vmware se obtiene copiando el fichero .vmem. No se puede extraer. En virtualbox se obtiene mediante el comando vboxmanage debugvirtualmachine nombreMaquina dump--filename.

¿Qué comando de The Sleuth Kit se utiliza para listar las particiones de una imagen forense?. fsstat. fls. mmls. icat.

Una vez localizada una partición con mmls, ¿qué comando usamos para inspeccionar su sistema de archivos?. mmcat. fsstat. fls. blkstat.

¿Qué comando usamos para listar el contenido del sistema de archivos en una partición usando el offset?. fsstat. mmstat. fls. blkcat.

¿Qué comando de TSK permite extraer el contenido de un fichero a partir de su número de inodo?. fls. fsstat. icat. ffind.

¿Qué función principal cumple un rootkit en un sistema comprometido?. Ejecutar tareas administrativas legítimas. Ocultar procesos y facilitar el acceso al atacante. Optimizar el rendimiento del sistema. Proteger contra malware externo.

¿Qué tipo de amenaza puede contener un rootkit para facilitar el acceso remoto?. Virus. Ransomware. Backdoor. Spyware.

¿Cuál es una función común de un rootkit a nivel de kernel?. Cifrar archivos del sistema. Registrar teclas. Modificar llamadas al sistema para ocultar actividades. Crear cuentas falsas.

¿Por qué son especialmente peligrosos los rootkits de kernel?. Son fáciles de detectar. Tienen acceso al núcleo del sistema y son difíciles de detectar. No afectan al sistema operativo. Solo funcionan en modo usuario.

¿Qué hacen los rootkits a nivel de aplicación?. Instalan drivers firmados. Reemplazan ejecutables con versiones alteradas. Modifican el hardware. Cambian el gestor de arranque.

¿Qué herramienta se usa para detectar rootkits en sistemas Linux de forma local?. rkhunter. ps. chkrootkit. netstat.

¿Qué hace el script chkrootkit principal?. Escanea puertos abiertos. Verifica binarios del sistema en busca de modificaciones. Instala parches de seguridad. Reemplaza ejecutables dañados.

¿Qué tipo de amenazas detecta rkhunter?. Ransomware. Virus. Rootkits, puertas traseras y exploits locales. Phishing.

¿Qué método utiliza rkhunter para detectar modificaciones en archivos importantes?. Escaneo por firmas heurísticas. Comparación de resúmenes MD5 con firmas conocidas. Análisis de comportamiento. Peticiones DNS.

Cuál de los siguientes programas no se encarga de buscar signos de rootkits en los sistemas unix. rkhunter. chkrootkit. mkrootkit.

Que afirmación es falsa en relación a los rootkits en los sistemas derivados de unix. A nivel de kernel añaden o modifican una parte del código de dicho núcleo para ocultar el backdoor. Los rootkits a nivel de aplicación son los más peligrosos ya que su detección puede ser muy complicada. Los rootkits se usan habitualmente para esconder algunas aplicaciones que podrían actuar en el sistema atacado y suelen incluir puertas tarseras. Los rootkits que actúan como aplicación pueden reemplazar los archivos ejecutables u originales que contengan algún troyano o también pueden modificar el comportamiento de las aplicaciones existentes.

¿Cuál es el propósito principal de la herramienta unhide?. Eliminar malware automáticamente. Detectar procesos y puertos ocultos por rootkits o módulos del kernel. Proteger archivos del sistema. Actualizar firmas de antivirus.

¿Qué tipos de puertos puede analizar unhide?. Solo puertos abiertos. Puertos TCP y UDP. Solo puertos cerrados. Solo puertos UDP.

¿Qué dos utilidades incluye la herramienta unhide?. unhide y unhide-tcp. unhide y killroot. unhide-check y rootscan. unhide-cli y unhide-net.

¿Qué tipo de técnicas detecta unhide?. Phishing web. Modificaciones en archivos .exe. Técnicas usadas por rootkits para ocultar procesos. Ataques DoS.

¿Cómo se analiza normalmente un fichero binario?. En formato decimal. En formato hexadecimal. En formato texto plano. En JSON.

Cuál de los siguientes SÍ es un editor hexadecimal disponible en Linux. xxd. hexedit. hexyl (en color). bless. ghex. nanohex.

¿Qué nombre recibe el valor de los primeros bytes que identifican el tipo de archivo?. File Marker. Magic Number. Hex Label. FileTag.

¿Qué técnica se utiliza cuando el sistema de archivos está corrupto?. Formateo rápido. Desfragmentación. Carving. Cifrado reverso.

¿En qué se basa el carving para recuperar archivos?. En permisos del sistema. En patrones como firmas de cabecera y pie de archivo. En índices de usuario. En el tamaño del disco duro.

¿Para qué sistemas de archivos funciona Extundelete?. NTFS y FAT32. ext3 y ext4. Btrfs y ZFS. HFS y APFS.

¿Qué debemos hacer inmediatamente tras borrar accidentalmente un archivo?. Reiniciar el sistema. Instalar más herramientas. Apagar el equipo o desmontar la partición. Limpiar la papelera.

¿Qué herramienta es un fork de Foremost?. Photorec. Scalpel. Gparted. Sleuthkit.

¿Cuál es la herramienta de carving más completa pero más lenta?. Scalpel. Photorec. Extundelete. Ghex.

¿Cuál de estas herramientas de carving fue desarrollada por el ejército de EE.UU.?. Scalpel. Foremost. Testdisk. Gpart.

¿Qué ventaja tiene Photorec sobre otras herramientas de carving?. Solo funciona en Windows. Solo recupera archivos JPG. Procesa todos los bloques del disco, no solo cabeceras y pies. No necesita instalación.

La herramienta de datacarving opensource y multiplataforma que mejores resultados ofrece es ... photorec. scapel. desklis. forepost.

¿Qué tipo de archivos puede analizar Bulk Extractor?. Solo imágenes JPEG. Imágenes forenses y grandes conjuntos de datos. Archivos de texto únicamente. Exclusivamente bases de datos SQL.

¿Cuál es una de las funcionalidades principales de Bulk Extractor?. Analizar archivos corruptos de Word. Extraer datos como emails, URLs y tarjetas de crédito. Formatear sistemas de archivos. Crear máquinas virtuales.

¿En qué sistemas operativos puede ejecutarse Bulk Extractor?. Solo Linux. Windows, Linux y Mac. Windows únicamente. Android y Linux.

¿Cuál es el enfoque principal de Binwalk?. Detección de virus. Análisis de firmware. Control de acceso remoto. Recuperación de particiones.

¿Qué es Lynis?. Un antivirus gratuito para Windows. Una base de datos de exploits. Una herramienta de auditoría de seguridad y hardening para sistemas UNIX. Un gestor de parches de kernel.

¿Qué sistemas operativos son compatibles con Lynis?. Solo Linux y Windows. Solo BSD. Linux, macOS, BSD y otros basados en UNIX. Solo macOS.

¿Cuál es el objetivo principal de Lynis?. Instalar software forense automáticamente. Analizar defensas de seguridad y dar recomendaciones de hardening. Crear copias de seguridad. Escanear redes Wi-Fi.

¿Qué es F-Response?. Una distro de Linux forense. Herramienta de pago para adquisición remota y montaje de discos/RAM. Un visor de logs remoto. Una herramienta de cracking.

¿Qué característica importante tiene GRR (Google Rapid Response)?. Solo funciona en Android. Es privativa. Es de código abierto y consta de cliente y servidor. Se ejecuta únicamente desde consola.

¿Qué lenguaje utiliza Velociraptor para sus consultas?. Bash. YAML. VQL (Velociraptor Query Language). SQL puro.

¿Qué relación tiene Velociraptor con GRR?. Es una alternativa de pago a GRR. Está basado en GRR, OSQuery y Rekall. Es el sucesor oficial desarrollado por Google. Funciona solo para Android.

La herramienta de auditoría de seguridad y hardening para extraer sistemas unix es ...

La herramienta de auditoría de seguridad y hardening para extraer sistemas unix es ... photorec. forepost. lynis. desklis.

Cuál de los siguientes plugins de volatility permite identificar el sistema. operativo del hardware de volcado de memoria ram higlist. imageinfo. netscan. pslist.

Que afirmación es verdadera en relación a la captura de memoria RAM en los sistemas unix. avpl es una herramienta de adquisición de memoria volátil que necesita compilación del kernel de la máquina. lime (linux memory extractor) es un módulo de kernel cargable que permite la adquisición de memoria volátil de linux como linux o android. se puede hacer un volcado mediante el comando sudo dd. lime se puede utilizar para adquirir memoria sin conocer a priori la distribución del sistema operativo o el kernel, no se necesita compilación.

Cuál es la sintaxis de volatility. vol.py -f volcado perfil y plugin. vol.py volcado perfil --plugin y plugin. vol.py volcado --profile perfil y plugin. vol.py -f volcado --profile perfil plugin.

¿Qué es LiME (Linux Memory Extractor)?. Un módulo de kernel para logs. Un módulo de kernel para volcado de RAM en Linux/Android. Un analizador de tráfico. Un lector de logs comprimidos.

¿Qué herramienta se usa para analizar la imagen de memoria obtenida?. Autopsy. Volatility. Binwalk. Ghidra.

¿Qué permisos se necesitan para ejecutar DumpIT for Linux?. Usuario normal. Usuario sudo sin root. Acceso root. Usuario invitado.

¿Qué es un perfil en Volatility?. Un plugin para mejorar la interfaz. Un archivo de configuración de la red. Un conjunto de módulos para interpretar un volcado de memoria específico. Una copia de seguridad de memoria.

¿Por qué es necesario tener un perfil específico para el kernel analizado?. Para compatibilidad con el sistema operativo. Para acelerar el análisis. Para que Volatility pueda interpretar correctamente las estructuras de memoria. Para cambiar el formato de archivo.

¿Qué paquete es necesario instalar para poder generar perfiles con Volatility?. build-essential. gcc-multilib. dwarfdump. valgrind.

¿Qué herramienta se usa para hacer un volcado forense de un proceso específico en Linux?. gcore. top. ProcDump. ps_mem.

¿Qué versión mínima del kernel se requiere para usar ProcDump-for-Linux?. 2.6. 3.0. 3.5. 4.0.

¿Cuál es la principal ventaja del análisis forense con Volatility?. Permite modificar la memoria en vivo. Permite analizar estados volátiles y detectar amenazas no visibles en logs o archivos. Automatiza la reparación del sistema. Realiza análisis de red.

Cuál de los siguientes plugins de volatility permite listar los procesos que estaban activos. imageinfo. pslist. netscan. volpy.

¿Cuál es el formato preferido para analizar evidencias en Linux?. E01. AFF. RAW. ISO.

¿Qué programa gráfico se puede usar en Linux para montar imágenes forenses?. Guymager. dd. FTK Imager Lite. fdisk.

¿Cuál de los siguientes puede complicar la organización de particiones físicas en una imagen forense?. RAID hardware. Volúmenes lógicos (LVM). Sistema de archivos FAT. Swap.

¿Qué problema puede causar un apagado brusco en el sistema durante la adquisición de una imagen?. Fragmentación del disco. Imágenes sucias o corruptas. Pérdida de particiones. Cambio de UUID.

¿Qué complicación añade un disco cifrado a la hora de montar una imagen forense?. Fragmenta los archivos. Cambia las fechas de creación. No se puede montar sin descifrar primero (p.ej., con dm-crypt/LUKS). El tamaño de la imagen aumenta.

Para montar una imagen EWF, el comando básico es: mount ewf <archivo> <directorio>. ewfmount <archivo> <directorio>. ewfmount -r <archivo>. ewfmount <directorio> <archivo>.

¿Cómo se llama el archivo que se genera al montar una imagen EWF?. raw1. ewf1. mount1. loop1.

¿Qué característica tiene el archivo generado al montar una imagen EWF?. Es de solo lectura. Es editable. Tiene el doble del tamaño original. Es cifrado.

Para comprobar el tipo de partición dentro de una imagen montada, se usa el comando: fdisk -l ewf1. file ewf1. mmls ewf1. mount ewf1.

¿Qué comando muestra la disposición de las particiones en un volumen?. fdisk. mmls. losetup. mount.

¿Cuál es la utilidad de la herramienta fsstat de sleuthkit?. Montar particiones. Comprobar sistemas de ficheros. Clonar discos. Crear imágenes RAW.

¿Qué comando muestra los volúmenes físicos en LVM?. vgscan. pvdisplay. lvchange. lvscan.

¿Qué comando permite escanear los grupos de volúmenes lógicos LVM?. pvscan. vgscan. lvdisplay. lvchange.

¿Cuál es el orden correcto para desmontar un sistema LVM?. Desmontar particiones -> desmontar loop device -> desactivar LVM -> desmontar imagen. Desactivar LVM -> desmontar particiones -> desmontar loop device -> desmontar imagen. Desmontar particiones -> desactivar LVM -> desmontar loop device -> desmontar imagen. Desmontar loop device -> desmontar particiones -> desmontar imagen -> desactivar LVM.

¿Qué herramienta se usa para manejar volúmenes cifrados con LUKS?. cryptsetup. ewfmount. losetup. vgscan.

¿Qué es imprescindible para acceder a un volumen cifrado con LUKS?. El UUID del volumen. El passphrase o clave de cifrado. El comando mount. El kernel de Linux.