Análisis forense segundo trimestre

¿Cuál de las siguientes herramientas puede generar un informe forense?. Volatility. Guymager. FTK Imager Lite. OSForensics.

¿Qué afirmación es verdadera respecto a la papelera de Windows?. En los sistemas de archivos NTFS, los archivos guardados por cada usuario se guardan dentro de la papelera en una subcarpeta que indica el SID de cada usuario. A partir de Windows Vista, el fichero borrado pasa a llamarse $R<#>.ext, donde <#> es una secuencia alfanumérica aleatoria de 6 caracteres y .ext es la extensión original. Con el mismo nombre, pero empezando por $I, se genera un fichero con los metadatos correspondientes. Todas son correctas.

Una herramienta que lee y muestra los datos EXIF almacenados en archivos de imagen jpg generado por camaras digitales es: Viso. ExifDataView. JumpList Explorer CMD de Eric Zimmerman. NZHview.

¿Qué afirmación es falsa en relación al registro de Windows?. Podemos analizar ficheros del registro con la herramienta Regripper. Los ficheros de máquina del registro, se encuentran en la ruta %windir%/system32/config y se llaman hives. Los ficheros de máquina del registro se encuentran en /users/nombre_usuario. En la clave del registro UserAssist, Windows registra el número de veces que una aplicación se ha ejecutado.

¿Qué afirmación es falsa en relación a las zonas horarias?. Las herramientas forenses suelen mostrar la hora UTC. Todas las herramientas forenses permiten cambiar la zona horaria a UTC + 0. Durante el análisis forense es importante tener en cuenta el timepstamp que maneja cada herramienta. Los analistas forenses intentan trabajar siempre en UTC + 0.

¿Cuál de las siguientes herramientas permite hacer una adquisición en caliente de u n equipo encendido?. Volatility. RegRipper. Remnus. Brimor Labs Live Response Collection.

¿Cuál de las siguiente herramientas permite encontrar metadatos e información oculta en los documentos (en local y almacenados en páginas web que escanee)?. FOCA. Mxtoolbox. Nirsoft Scanner. ExifData View.

¿Qué afirmación es verdadera en relación a NTFS?. El drive slack no existe en los discos SSD. El espacio entre el final del contenido del fichero y el final del último cluster asignado a él se le conoce como unallocated space. El slack space es el espacio libre que no está asignado en ninguna partición, volumen o unidad local. El slack spaces puede ser de tres tipos: RAM slack, File slack o Drive slack.

¿Cuál de los siguientes comandos NO forma parte del Sleuth Kit (TSK)?. dc3dd. mmls. fssat. fls.

¿Cuál de las siguientes herramientas permite hacer una adquisición en caliente en un equipo encendido?. MFTDump. Remnux. Brimor Labs Live Response Collection. Volatility.

Las subcarpeta Local, LocalLow y Roaming donde muchas aplicaciones nos dejan sus datos específicos relativos al usuario como cookies, bbdd sqlite con formularios, contraseñas de sitios web, bbdd de correos electrónicos, logs de sincoreacion de herramientas, etc, está dentro de la carpeta: %windir%. c:/profiles. %appdata%. %USERPROFILE%/Appdata.

Los ficheros creados o generados cuando tenemos activada la vista en miniatura de las imágenes se conocen como: mini.db. thumbnails. roaming. AM caché.

¿Qué afirmación es falsa en relación a los timestamps en NTFS?. En NTFS hay 4 timestamps: modificación, acceso, cambio de metadatos o creation/birth time (MACB). La MFT registra 2 conjuntos de marcas de tiempo, uno manipulable por el usuario (el atributo $STDINFO o $Standard_Information) y otro administrado por el sistema (el atributo $FN o $File_Name)). Mediante la técnica del timestomp, una aplicación antiforense puede cambiar por completo todas las marcas de tiempo del atributo $STDINFO, una técnica muy usada por malware. En NTFS hay 3 timestamps: modificación, acceso y creación (MAB).

Al escribir datos en un fichero, a veces hay sectores restantes del último cluster en el que no se escribe nada. Este área se conoce como: Drive slack. File slack. Ram slack. Unallocated space.

¿Cuál de las siguientes herramientas permite administrar y ver ficheros .pst de una forma sencilla y efectiva?. B64. Exifdataview. pst viewer. Yara.

¿Qué afirmación es verdadera en relación a los navegadores web?. La suite de Sysinternals incluye varias herramientas para el análisis de la información de los navegadores. Todas son correctas. Microsoft almacena toda la información de sus navegadores (Internet explorer y edge) en una BBDD ESE (Extensible Storage Engine). Un formato habitual de BBDD para navegadores de Sqlite.

¿Cuál de las siguientes herramientas no permite hacer una adquisición en caliente de un equipo encendido?. OS Forensics. Brimor Labs Live Response Collection. Winterage. Volatility.

¿Cuál es falsa en relación a las jump lists?. Es un artefacto que nos permite acceder fácilmente a los logs del sistema. Es un artefacto que nos permite acceder fácilmente a los últimos documentos, conexiones o ubicaciones abiertas. Una de las herramientas que facilitan su gestión es JLECmd de Eric Zimerman. Es un artefacto que aparece por primera vez en Windows Vista.

¿Qué afirmación es falsa en relación a NTFS?. Mftdump.exe es un analizador gratuito muy utilizado para extraer la información de $MFT en formato csv para poder abrirlo con Excel. Podemos exportar o extraer $MFT desde una imagen forense en caliente con FTK Imager o podemos usar RAWcopy, una herramienta que permite el acceso a bajo nivel a ficheros normalmente bloqueados por el sistema como pagefile.sys etc. En el borrado de ficheros se marca en la $MFT la entrada como “borado” y se identifican los cluster como disponibles, por lo que podremos encontrar en $MFT la referencia a los ficheros borrados con su timestamp, lo que tiene relevancia en el entorno forense. Podemos copiar $MFT y otros ficheros de metadatos mediante la herramienta Mftdump.

¿Qué afirmación es verdad en relación a NFTS?. $MFT se almacena en un fichero binario, siendo necesario un parser para extraer los datos. Al formatear una partición en formato NTFS se crea un fichero $MFT y varios ficheros de metadatos. Todas son correctas. Los ficheros de metadatos se consideran artefactos vitales en el análisis forense. Están en el directorio raíz y su nombre comienza por $.

¿Qué afirmación es falsa en relación al TSK?. The Sleuth Kit se puede utilizar en Windows, Linux, Mac OS, openBSD, freeBSD y Solaris. Autopsy es una herramienta gratuita con interfaz gráfica que, entre otras, utiliza las herramientas de The Sleuth Kit. TSK es el acrónimo de The Sleuth Kit. The Sleuth Kit sólo está disponible en sistemas operativos Windows.

¿Qué afirmación es verdadera en relación a NTFS?. Podríamos decir que ADS son los servicios de Active Directory. Un flujo de datos alternativo (ADS) es una característica de los sistemas de ficheros FAT y NTFS. Para ver los ADS es necesario usar alguna herramienta de terceros. Cuando descargamos un fichero de Internet, lleva asociado un flujo alternativo de datos llamado identificador de zona, que indica la zona desde la que se ha descargado el fichero.

La persistencia es un método empleado por las aplicaciones para permanecer en el sistema el mayor tiempo posible. Existen diferentes métodos de persistencia: o bien entrar en el registro, o estar alojado en la carpeta de start o de inicio o conseguir una tarea programada o conseguir un servicio en modo automático o manual. ¿Qué herramienta me permite mirar en todos estos sitios a la vez?. Autoruns de SysInternals. TSK. Volatibity. EseDatabaseView.

¿Qué afirmación es falsa en relación a los artefactos?. No hay que confundir artefacto (registro, logs, documentos, correos, historial…) con las evidencias de la actividad del usuario (rastros, huellas). Los artefactos son los elementos de Windows y de cualquier sistema operativo que dejan rastro de la actividad del usuario, de los programas que utiliza, a dónde accede, dónde se conecta, qué aplicaciones ejecuta, qué ha hecho durante la navegación, si ha descargado algo, etc. Los artefactos son cruciales para el perito informático ya que aportan muchísima información para los análisis forenses. Los artefactos también se conocen como rastros o huellas.

¿Cuál de los siguientes archivos de memoria virtual aparece a partir de Windows 8 y es utilizado por las aplicaciones Metro/ModernUI?. Pagefyle.sys. Swapfile.sys. Hyberfyl.sys. Ninguna es correcta.

¿Qué afirmación es verdadera en relación a los prefetch?. Windows cache manager registra durante los 10 primeros segundos tras la ejecución de una aplicación las librerías que necesita. Además registra el número de veces que ejecuta la aplicación, con el fin de anticipar la carga de la aplicación. Todas son correctas. Para poder abrir los ficheros binarios de prefetch, necesitamos una app de terceros para su análisis como Nirsoft WinPrefetchView. El prefetching es una funcionalidad de Windows para acelerar la carga tanto del sistema operativo como de las aplicaciones a partir de Windows XP.

¿Qué afirmación es verdadera en relación a eventos (logs) del sistema?. Event Log Explorer es una herramienta gratuita para uso no comercial pensada para trabajar con grandes cantidades de logs con capacidad para exportarlos a múltiples formatos. La ruta donde se almacenan los registros de Windows a partir de Windows Vista es %WINDIR%\System32\winevt\Logs. Todas son correctas. Los ficheros de eventos tienen la extensión .evtx a partir de Windows Vista.

¿Qué afirmación es falsa en relación al registro de Windows?. Los ficheros de máquina del registro se encuentran en la ruta %WINDIR%\SYSTEM32\CONFIG y se llaman hives. La BBDD del registro se genera durante la ejecución del sistema operativo, siendo almacenado en el conjunto de ficheros cuando este se apaga. Los ficheros donde se almacena la información para alimentar la BBDD del registro son de dos tipos: de usuario y de máquina. La información del registro se almacena en texto plano y se puede visualizar sin necesidad de utilizar herramientas.

¿Cuál de las siguientes herramientas no permite hacer una adquisición en caliente en un equipo encendido?. Wintriage. Belkasoft Triage. The Sleuth Kit. Brimor Labs Lite Response Collection.