Análisis Forense en entornos Windows

¿Cuál de los siguientes NO es un objetivo principal del análisis forense en un incidente de seguridad?. a) Identificar al atacante. b) Determinar la causa del incidente. c) Recuperar datos perdidos por borrado accidental. d) Establecer la secuencia de eventos.

¿Qué tipo de memoria se utiliza para almacenar temporalmente información que no está en uso por los procesos en ejecución?. a) RAM. b) ROM. c) Memoria virtual. d) Caché.

¿Qué sistema de particionado de discos utiliza GUIDs?. a) MBR. b) GPT. c) FAT32. d) NTFS.

¿Cuál de los siguientes sistemas de ficheros es el más utilizado en sistemas Windows?. a) FAT32. b) exFAT. c) NTFS. d) ReFS.

¿Qué archivo contiene una entrada por cada fichero y directorio en un sistema de ficheros NTFS?. a) Boot Sector. b) MFT. c) $LogFile. d) $UsnJrnl.

¿Qué es el journaling en un sistema de ficheros?. a) Un registro de todos los archivos en el disco. b) Un registro de los cambios en los metadatos del sistema de ficheros. c) Una copia de seguridad de la MFT. d) Un método para cifrar archivos.

¿Cuál de las siguientes NO es una herramienta para analizar el registro de Windows?. a) RegEdit. b) AccessData Registry Viewer. c) Volatility. d) RegRipper.

¿Qué tipo de información se puede encontrar en la clave del registro SYSTEM\CurrentControlSet\Enum\USBSTOR?. a) Historial de navegación web. b) Dispositivos USB conectados. c) Programas instalados. d) Cuentas de usuario.

¿Qué utilidad de Nirsoft se utiliza para ver los programas que se ejecutan al inicio del sistema?. Autoruns. ShellBagsView. UserAssistView. WinPrefetchView.

¿Qué es ShimCache?. a) Un componente para almacenar archivos temporales. b) Una caché para problemas de compatibilidad de aplicaciones. c) Un registro de eventos del sistema. d) Una herramienta para gestionar la memoria virtual.

¿Cuál de los siguientes NO es un tipo de slack space?. a) RAM slack. b) File slack. c) Drive slack. d) Cluster slack.

¿Qué herramienta se utiliza para ver los flujos de datos alternativos (ADS)?. a) RegEdit. b) Task Manager. c) Streams. d) Event Viewer.

¿Qué significa LOLBins?. a) Herramientas legítimas del sistema operativo utilizadas para actividades maliciosas. b) Binarios de Linux para operaciones forenses. c) Programas para analizar logs. d) Aplicaciones para recuperación de datos.

¿Cuál de las siguientes NO es una capa de utilidades en The Sleuth Kit (TSK)?. a) Capa de volúmenes. b) Capa del sistema de ficheros. c) Capa de red. d) Capa de archivo.

¿Qué comando de TSK se utiliza para ver el contenido de un directorio en una imagen forense?. mmstat. fsstat. fls. icat.

¿Dónde se almacena el registro de Windows?. a) En la memoria RAM. b) En el disco duro en archivos llamados "hives". c) En la caché del procesador. d) En la BIOS.

¿Cuál de los siguientes archivos de registro contiene información sobre cuentas de usuario?. a) SYSTEM. b) SOFTWARE. c) SAM. d) NTUSER.DAT.

¿Qué tipo de datos del registro se utiliza para los enlaces simbólicos?. a) REG_SZ. b) REG_DWORD. c) REG_LINK. d) REG_BINARY.

¿Cada cuánto tiempo se realiza una copia de seguridad del registro en el directorio RegBack?. a) Cada día. b) Cada semana. c) Cada diez días. d) Cada mes.

¿Cuál de las siguientes NO es una herramienta para acceder al registro de Windows?. RegEdit. PowerShell. FTK Imager. RAWCOPY.

¿Qué información se puede encontrar en la clave del registro SYSTEM\CurrentControlSet\Control\TimeZoneInformation?. a) Nombre del equipo. b) Zona horaria. c) Direcciones IP. d) Programas de inicio automático.

¿Dónde se almacena la información de las aplicaciones predeterminadas en el registro de Windows?. a) HKEY_CURRENT_USER. b) HKEY_LOCAL_MACHINE. c) HKEY_CLASSES_ROOT. d) HKEY_USERS.

¿Qué clave del registro contiene información sobre los archivos abiertos recientemente?. a) ...\Explorer\RecentDocs. b) ...\Explorer\TypedPaths. c) ...\Microsoft\Windows\CurrentVersion\Run. d) ...\Microsoft\Windows\Shell\Bags.

¿Qué herramienta se utiliza para analizar los ShellBags?. a) RegEdit. b) Registry Explorer. c) ShellBag Explorer. d) UserAssistView.

¿Qué clave del registro contiene información sobre los programas que se ejecutan cuando un usuario inicia sesión?. a) ...\Windows\CurrentVersion\Run. b) ...\Windows\CurrentVersion\Explorer\RunMRU. c) ...\Microsoft\Windows\Shell\BagMRU. d) ...\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.

¿Qué clave del registro contiene información sobre los programas que se ejecutan cuando un usuario inicia sesión?. a) ...\Windows\CurrentVersion\Run. b) ...\Windows\CurrentVersion\Explorer\RunMRU. c) ...\Microsoft\Windows\Shell\BagMRU. d) ...\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.

¿Qué utilidad de Nirsoft muestra información sobre los dispositivos USB conectados?. a) USBDeview. b) DeviceManager. c) WinPrefetchView. d) UninstallView.

¿Qué valor del registro indica la última hora en que se modificó una clave?. CreationTime. LastAccessTime. LastWriteTime. ModifiedTime.

¿Dónde se encuentra la información sobre los programas instalados en Windows?. a) ...\CurrentVersion\Uninstall. b) ...\CurrentVersion\Policies\Explorer\Run. c) ...\Microsoft\Windows\Shell\Bags. d) ...\Microsoft\Windows\CurrentVersion\Explorer\UserAssist.

¿Qué herramienta se utiliza para analizar los datos de ShimCache?. a) Regedit. b) AppCompatCache Parser. c) Process Monitor. d) Autoruns.

¿Qué tipo de información NO se almacena en AmCache?. a) Rutas de ejecución de programas. b) Hashes SHA1 de programas. c) Contraseñas de usuario. d) Tiempos de instalación de programas.

¿Qué es BAM/DAM?. a) Herramientas para la gestión de la memoria. b) Servicios para monitorizar la actividad de las aplicaciones. c) Componentes del sistema de archivos. d) Utilidades para la gestión de dispositivos.

¿Qué funcionalidad de Windows acelera la carga de aplicaciones registrando las librerías que utilizan?. a) SuperFetch. b) Prefetch. c) ReadyBoost. d) Memory Management.

¿Cuál de los siguientes NO es un tipo de archivo creado por la funcionalidad Prefetch?. a) *.pf. b) *.exe-*.pf. c) *.dll-*.pf. d) *.sys-*.pf.

¿Qué tipo de archivo se crea automáticamente cuando un usuario abre un archivo en Windows?. a) .log. b) .lnk. c) .pf. d) .dat.

¿Dónde se almacenan los archivos .lnk creados recientemente por un usuario en Windows 10?. a) C:\Windows\Recent. b) C:\Users\AppData\Roaming\Microsoft\Windows\Recent. c) C:\Documents and Settings\Recent. d) C:\Users\AppData\Local\Microsoft\Windows\Recent.

¿Qué son las Jump Lists?. a) Listas de archivos temporales. b) Menús de acceso rápido a archivos recientes y frecuentes. c) Registros de eventos del sistema. d) Caché de miniaturas de archivos.

¿Cuál de los siguientes NO es un tipo de archivo de Jump List?. a) AutomaticDestinations. b) CustomDestinations. c) RecentDestinations. d) Ninguno de los anteriores.

¿Qué formato se utiliza para guardar los streams de las Jump List?. a) JSON. b) XML. c) Structured Storage (OLE). d) CSV.

¿Dónde se almacenan los archivos borrados en Windows?. a) En la carpeta Temp. b) En la Papelera de reciclaje. c) En la carpeta System32. d) Se eliminan permanentemente.

¿Cuál es el nombre del archivo que contiene los metadatos de un archivo borrado en la Papelera de reciclaje en Windows Vista y posterior?. a) $R<#>.ext. b) $I<#>. c) delete.log. d) metadata.dat.

¿Qué son los archivos Thumbs.db?. a) Archivos de registro del sistema. b) Archivos de caché de miniaturas de imágenes. c) Archivos de configuración de la red. d) Archivos de contraseñas.

¿Qué herramienta de Windows se utiliza para ver los registros de eventos?. a) Task Manager. b) Event Viewer. c) Performance Monitor. d) Resource Monitor.

¿Cuál de los siguientes NO es un tipo de registro de eventos de Windows?. a) Aplicación. b) Seguridad. c) Hardware. d) Sistema.

¿Qué formato de archivo se utiliza para los registros de eventos en Windows Vista y posterior?. a) .log. b) .evt. c) .evtx. d) .dat.

¿Qué tipo de información se registra en los logs de seguridad de Windows?. a) Errores de hardware. b) Eventos de inicio y cierre de sesión. c) Registros de aplicaciones instaladas. d) Información del sistema operativo.

¿Qué herramienta se utiliza para detectar cifrado de disco completo o de archivos?. a) Magnet Encrypted Disk Detector. b) FTK Imager. c) DiskCryptor. d) TrueCrypt.