ANÁLISIS FORENSE MAC

¿Cuál es el sistema operativo central de Mac OS?. UNIX. Darwin. Aqua. Carbon.

¿Qué interfaz de usuario utiliza Mac OS?. Carbon. Cocoa. Aqua. QuickTime.

¿Qué sistema de archivos reemplazó al Macintosh File System (MFS)?. HFS. HFS Plus. APFS. NTFS.

¿Cómo se conoce también al sistema HFS Plus?. APFS. Mac OS extendido. FAT32. Mac OS original.

¿Cuál es el sistema de archivos por defecto en macOS 10.13 o posterior?. HFS. FAT. APFS. Ext4.

¿Qué ventaja ofrece APFS respecto al almacenamiento?. Requiere menos RAM. No permite cifrado. Está optimizado para almacenamiento Flash o SSD. Solo funciona con HDD.

¿Qué característica de seguridad incluye APFS?. Backups automáticos. Permisos NTFS. Encriptación de alta seguridad. Antivirus integrado.

¿Qué comando permite hacer adquisiciones en frío en distribuciones como Caine?. mount. fsstat. dd. mkfs.

¿Qué herramienta utiliza Paladin en Imager para adquisiciones?. Autopsy. dd. ewfacquire. FTK Capture.

¿Qué permite hacer la herramienta FTK Imager para Mac?. Modificar el sistema. Instalar drivers. Adquisición forense. Borrar particiones.

¿Qué modo convierte el Mac en un disco externo al arrancarlo?. Safe Mode. Recovery Mode. Target Disk Mode. Disk Utility Mode.

¿Cuál es la utilidad del Target Disk Mode en forense digital?. Instalar actualizaciones. Hacer adquisiciones sin arrancar el SSOO. Probar el hardware. Formatear la unidad.

¿Qué herramienta forense permite hacer adquisiciones en caliente y en frío?. Autopsy. RECON ITR. FTK Imager. Caine Live.

¿Qué empresa desarrolla RECON ITR?. Caine. AccessData. Sumuri. SANS.

¿Qué tecla se debe pulsar al arrancar un Mac para entrar en Target Disk Mode?. Option (ALT). Cmd + R. T. F12.

¿Qué comando usamos con privilegios de superusuario para ver discos conectados?. mount. diskutil list. fdisk -l. lsblk.

¿Qué pasa si introducimos la contraseña cuando conectamos el Mac en Target Disk Mode?. Se formatea el disco. Se desbloquea y se descifra el volumen, alterando evidencias. Se reinicia el equipo. Se bloquea el acceso.

¿Por qué es importante no introducir la contraseña al montar el disco en análisis forense?. Para ahorrar tiempo. Para no alterar el contenido de los volúmenes. Para evitar que se apague el disco. Para mejorar la velocidad de lectura.

¿Qué herramienta permite realizar adquisición de memoria RAM en Mac?. FTK Imager. Sumuri RECON ITR. Disk Drill. Sleuth Kit.

¿Qué herramientas son más conocidas para el análisis de RAM en Mac?. Autopsy y Caine. Volatility y Rekall. EnCase y Cellebrite. Plaso y Brimor.

¿Cuál de estas herramientas permite automatizar el análisis forense en caliente en Mac?. FTK Imager. Sleuth Kit. AutoMacTC. Rekall.

¿Qué herramienta mencionada es útil para crear líneas de tiempo forenses?. Volatility. Plaso. Rekall. Target Disk.

¿Qué herramienta puede utilizarse tanto para adquirir como analizar memoria RAM?. AutoMacTC. Sumuri RECON ITR. Plaso. FTK Imager.

¿Qué es Pac4Mac?. Un sistema operativo para Mac. Una herramienta forense para análisis en caliente en macOS. Un firewall para macOS. Un sistema de respaldo en la nube.

¿Cómo se ejecuta Pac4Mac en un equipo Mac?. Desde la App Store. Desde Terminal. Desde un dispositivo USB. Como una extensión del navegador.

¿Qué tipo de información puede obtener Pac4Mac?. Solo contraseñas. Historial de navegación, contraseñas cacheadas, autocompletado. Solo datos de red. Información del hardware únicamente.

¿Qué técnica ayuda a detectar Pac4Mac?. Deep Packet Inspection. Fugas de información a través de rutas del sistema. Análisis predictivo de tráfico. Escaneo de puertos.

¿Qué tipo de adquisición permite la herramienta de Brimor Labs?. Solo en frío. En caliente (live). Solo en red. Desde discos externos.

¿Qué tipo de datos puede extraer la herramienta de Brimor Labs?. Solo logs de red. Todo el sistema y datos volátiles. Solo archivos de usuario. Solo datos cifrados.

¿Qué es AutoMacTC?. Un navegador web para Mac. Una herramienta de cifrado de disco. Un script de Python modular para análisis forense en macOS. Un analizador de red.

¿En qué lenguaje está desarrollado AutoMacTC?. Java. Ruby. Python. C++.

¿Qué tipo de análisis permite AutoMacTC?. Solo postmortem. En caliente o sobre volúmenes montados. Solo desde discos duros externos. Solo desde discos cifrados.

¿Cuál es la finalidad principal de AutoMacTC?. Crear copias de seguridad. Ejecutar exploits. Recolectar y parsear artefactos forenses en macOS. Restaurar archivos eliminados.

¿Qué tipo de herramienta es CyLR?. Un navegador seguro. Una herramienta de respuesta en vivo para recolección forense. Un antivirus multiplataforma. Un software de cifrado.

¿Cuál es el principal objetivo de CyLR?. Restaurar discos dañados. Ejecutar exploits. Recopilar artefactos forenses de forma rápida y segura. Borrar evidencia digital.

¿Qué tipo de sistemas operativos soporta CyLR?. Solo Windows. Solo Linux. Windows, Linux y macOS. Solo macOS.

¿En qué formato se empaquetan los datos recolectados por CyLR?. ISO. ZIP. TAR. RAR.

¿Qué ventaja clave destaca de CyLR en cuanto a rendimiento?. Corre en segundo plano sin permisos. Es realmente rápido en la recolección de artefactos. Tiene interfaz gráfica avanzada. Requiere hardware especializado.

¿Qué tipo de herramienta es FUJI?. Un antivirus para macOS. Una herramienta forense de adquisición lógica (live). Un software de recuperación de contraseñas. Un sistema de archivos.

¿Qué tipo de adquisición realiza FUJI?. Física. Lógica (en caliente). Binaria. Diferencial.

¿Qué tipo de archivo genera FUJI tras la adquisición?. ZIP. DMG. ISO. TAR.

¿Qué se puede hacer con el archivo generado por FUJI?. Cargarlo solo en Mac. Analizarlo en herramientas forenses como Autopsy. Subirlo automáticamente a iCloud. Ejecutarlo como una aplicación.

¿Qué tipo de licencia tiene FUJI?. Comercial. Shareware. Gratuita y de código abierto. Trial limitado.

¿Qué modo de arranque puede usarse con FUJI?. Recovery Mode. Verbose Mode. Target Disk Mode. Safe Mode.

¿En qué plataforma está diseñado principalmente FUJI?. Windows. Linux. macOS. Android.

¿Qué tipo de análisis permite FUJI?. Recolección remota. Análisis de malware. Adquisición lógica para análisis posterior. Análisis físico de RAM.

¿Qué es Mac Triage Tool?. Un sistema de cifrado para macOS. Un script de recopilación forense para macOS. Un antivirus para Mac. Un emulador de sistemas Apple.

¿En qué herramienta está inspirado Mac Triage Tool?. Volatility. KAPE. FTK Imager. Rekall.

¿Qué característica clave tiene Mac Triage Tool respecto al sistema de archivos?. Elimina duplicados. Formatea la partición. Conserva la estructura original del sistema de archivos. Cifra automáticamente los artefactos.

¿Cuál es uno de los principales objetivos de Mac Triage Tool?. Eliminar registros de actividad. Recopilar artefactos críticos del sistema para análisis forense. Realizar backups automáticos. Proteger contraseñas.

¿En qué herramienta está basada Mac Triage Tool?. AutoMacTC. FUJI. Brimor Labs Live Response Collection. RECON ITR.

¿Mac Triage Tool puede alterar la estructura del sistema?. Sí, si lo ejecutamos como root. No, conserva la estructura original. Solo si se usa junto a FUJI. Siempre la convierte a JSON.

¿Qué es SKADI?. Un sistema de archivos para macOS. Una colección de herramientas gratuitas y de código abierto para análisis forense. Un antivirus multiplataforma. Un gestor de discos virtuales.

¿Qué funciones permite realizar SKADI?. Solo análisis de red. Recolección, procesamiento y análisis avanzado de artefactos e imágenes forenses. Limpieza de archivos duplicados. Cifrado de volúmenes.

¿En qué sistemas operativos funciona SKADI?. Solo en Linux. En macOS, Windows y Linux. Solo en máquinas virtuales. Solo en servidores.

¿Qué tipo de licencia tiene SKADI?. De pago. Trial. Gratuita y de código abierto. Licencia empresarial obligatoria.

¿SKADI es adecuada para usar en...?. Solo redes domésticas. Portátiles, ordenadores de sobremesa, servidores y la nube. Solo centros de datos. Solo en dispositivos móviles.

¿Cómo se puede instalar SKADI?. Solo desde App Store. Importando un archivo .ova, instalando en Ubuntu o mediante Vagrant. Solo por Docker. Solo desde ISO bootable.

¿SKADI cuenta con interfaz...?. Solo CLI. Solo para Windows. Web. Sin interfaz, solo API.

¿Quién desarrolló SKADI?. El equipo de Apple. El mismo creador de CyLR. Kaspersky. El equipo de RECON.

¿Cuál es una ventaja destacada de SKADI?. Solo funciona sin conexión. Escalabilidad en distintos entornos: portátiles, servidores, nube. Funciona solo en tiempo real. Es exclusiva para sistemas Windows.

¿Qué es Microsoft Defender for Endpoint?. Un navegador seguro. Una plataforma de seguridad para endpoints empresariales. Un antivirus gratuito para Mac. Un gestor de backups.

¿Cuál es uno de los objetivos principales de Defender for Endpoint?. Crear redes WiFi. Eliminar archivos duplicados. Detectar y responder a amenazas avanzadas. Limpiar cachés del navegador.

¿Qué es Aftermath?. Un antivirus de Microsoft. Un framework de respuesta a incidentes basado en Swift. Un visor de logs. Un sistema operativo para análisis forense.

¿Cuál es el lenguaje de programación utilizado en Aftermath?. Python. Swift. Bash. Java.

¿Qué función tiene Aftermath en el análisis forense?. Optimiza el sistema operativo. Recopila y analiza datos de sistemas comprometidos. Cifra archivos de usuario. Repara discos duros.

¿Qué permite el uso de MDM con Aftermath?. Reiniciar equipos. Desplegar Aftermath de forma remota en los dispositivos. Instalar juegos. Cerrar sesiones de usuario.

¿Qué tipo de información almacenan los archivos PLIST?. Logs de red. Configuraciones y preferencias de usuario y aplicaciones. Datos del navegador. Permisos del sistema.

¿Con qué herramienta se puede convertir un archivo PLIST entre formatos XML y binario?. plistutil. xmlconvert. plutil. xconvert.

¿Los usuarios deben modificar manualmente archivos PLIST regularmente?. Sí, para mejorar el rendimiento. No, solo los programas deben hacerlo normalmente. Sí, para eliminar virus. Solo si usan Windows.

¿Qué es KnowledgeC.db?. Un archivo de sistema de Windows. Una base de datos SQLite con registros de actividad del usuario. Un archivo de caché. Un malware de iOS.

¿Cuánto tiempo de actividad suele registrar?. 1 semana. Hasta 6 meses. Alrededor de 1 mes. Tiempo indefinido.

¿Dónde se encuentra KnowledgeC.db en macOS para el contexto del sistema?. /private/var/db/CoreDuet/Knowledge. /Applications/System/Logs. /etc/CoreData. ~/Documents/CoreDuet.

¿Dónde se encuentra KnowledgeC.db en macOS para el contexto del usuario?. /System/User/Core. ~/Library/Application Support/Knowledge. /private/tmp. /Library/Caches/UserData.

¿Qué tabla contiene los registros principales de actividades?. ZSOURCE. ZMETADATA. ZOBJECT. ZENTRY.

¿Qué información ofrece ZSTRUCTUREDMETADATA?. Solo logs de errores. Metadatos detallados de las actividades en ZOBJECT. Datos de red. Información del kernel.

¿Qué tabla se conecta con ZOBJECT a través de ZSOURCE?. ZDEVICE. ZENTRIES. ZSOURCE. ZACTIVITY.

¿Qué herramienta permite extraer KnowledgeC.db sin jailbreak?. iTunes. Finder. Belkasoft X. Safari.

¿Cuál es un límite de KnowledgeC.db en relación con el historial web?. No registra navegación con Wi-Fi. No registra historial. No registra navegación privada. Solo registra URLs de Safari.

¿Qué reemplaza a KnowledgeC.db a partir de iOS 16/macOS 13?. system.log. Biome. Kernel.db. iTimeline.

¿Qué tipo de archivo es KnowledgeC.db?. XML. SQLite. JSON. CSV.

¿Qué evento podría estar registrado en KnowledgeC.db?. Actualización de software. Conexión a Bluetooth en coche (CarPlay). Creación de cuenta iCloud. Inicio del sistema operativo.

¿Qué función cumple la tabla ZSOURCE?. Identificar la fuente del evento registrado. Mostrar logs del sistema. Listar rutas de archivos. Guardar contactos.

¿Qué limitación tiene la extracción de KnowledgeC.db en dispositivos Apple?. Solo en iPhones viejos. Requiere acceso físico o jailbreak. Solo accesible con Apple Developer. No es legal.

¿Qué dato sobre el dispositivo puede incluir la base de datos?. Contraseña de iCloud. Eventos de carga de batería. Firmware. IMEI.

¿Qué es la base de datos Biome en macOS/iOS?. Un antivirus de Apple. Un sistema de almacenamiento de datos de actividad del usuario. Un componente del Finder. Una herramienta de gestión de red.

¿Qué permite reconstruir la base de datos Biome?. El árbol de procesos del sistema. La actividad del usuario en el dispositivo. Las claves Wi-Fi almacenadas. El estado del hardware.

¿Qué tipo de datos puede contener Biome?. Archivos PDF. Historial de navegación, uso de apps y consultas de búsqueda. Contraseñas cifradas. Certificados del sistema.

¿Qué componente de Biome registra interacciones entre apps?. SEGB. ZSOURCE. AppIntent. MDM.

¿Qué contienen los archivos SEGB?. Copias de seguridad completas. Información sobre historial de Safari borrado o modo privado. Logs del sistema. Interacciones con Bluetooth.

¿Qué se analiza para entender el comportamiento de una app con Biome?. kernel.log. AppIntent. plist del sistema. Time Machine.

¿Qué es Spotlight en macOS?. Un antivirus. Un buscador integrado que también puede hacer cálculos y conversiones. Un navegador web. Un editor de texto.

¿Por qué Spotlight puede tener valor forense?. Porque instala software automáticamente. Porque registra búsquedas de archivos y apps que revelan actividad del usuario. Porque bloquea accesos. Porque cifra documentos automáticamente.