Analisis de malware - VIU

¿Qué es el malware?. Un programa diseñado para realizar acciones maliciosas. Software de seguridad. Herramienta para optimizar sistemas. Una aplicación instalada por el usuario.

¿Cuál de los siguientes NO es un objetivo del malware?. Robo de información. Espionaje a la víctima. Mejorar el rendimiento del sistema. Bloquear datos para solicitar rescate.

¿Qué acción realiza un ransomware?. Robar credenciales bancarias. Cifrar datos y solicitar un rescate. Mostrar anuncios en el sistema. Infectar otros sistemas en red.

¿Qué caracteriza a un gusano como tipo de malware?. Requiere intervención humana para replicarse. Infecta archivos ejecutables. Se autorreplica y propaga rápidamente. Utiliza cifrado avanzado para ocultarse.

¿Qué es un troyano en el contexto del malware?. Un programa que simula ser benigno. Un software para realizar espionaje remoto. Una red de sistemas comprometidos. Un malware que cifra datos.

¿Qué hace un spyware?. Bloquear el acceso a datos. Recopilar información de la víctima. Mostrar publicidad intrusiva. Infectar sistemas remotos.

¿Qué tipo de ataque utiliza un sitio web de confianza comprometido para infectar víctimas?. Drive-by-download. Watering hole attack. Phishing. Exploits.

¿Qué caracteriza un ataque de tipo drive-by-download?. Aprovecha vulnerabilidades en navegadores. Depende de correos electrónicos maliciosos. Infecta sistemas mediante USBs. Utiliza scripts de redes sociales.

¿Cuál fue el primer malware reconocido como ransomware?. ILoveYou. AIDS Trojan. Wannacry. Stuxnet.

¿Qué hizo famoso al gusano Morris?. Infectar sistemas Windows. Propagarse rápidamente por Internet. Cifrar archivos de usuario. Comprometer BIOS en equipos antiguos.

¿Qué malware marcó el inicio de los troyanos bancarios?. Zeus. Stuxnet. CIH/Chernobyl. DarkSide.

¿Cuál de las siguientes opciones describe mejor el objetivo de persistencia en malware?. Acceder a datos personales. Mantenerse activo en el sistema durante el mayor tiempo posible. Cifrar archivos y pedir rescate. Obtener privilegios administrativos.

¿Qué tipo de malware bloquea el acceso a un dispositivo hasta que se pague un rescate?. Spyware. Adware. Ransomware. Troyano.

¿Qué tipo de ataque utiliza correos electrónicos para engañar a las víctimas y robar información?. Phishing. Drive-by-download. Watering hole attack. Exploits.

¿Qué malware utilizó por primera vez la técnica de propagación por correo electrónico?. Morris Worm. ILoveYou. Stuxnet. Zeus.

¿Qué ataque fue pionero en comprometer infraestructuras críticas?. Zeus. Stuxnet. CIH/Chernobyl. WannaCry.

¿Qué cadena de texto identifica el encabezado DOS Header en un archivo PE?. PE. MZ. EXE. DOS.

¿Cuál es el objetivo principal de un ataque de espionaje a través de malware?. Obtener información confidencial de la víctima. Bloquear el acceso a un sistema. Mostrar anuncios en el dispositivo. Cifrar archivos y solicitar rescate.

¿Qué define mejor la funcionalidad de un botnet?. Mostrar publicidad al usuario. Robar credenciales de acceso. Controlar múltiples equipos comprometidos. Cifrar datos para pedir rescate.

¿Qué técnica utiliza un dropper como tipo de malware?. Descarga otros archivos maliciosos al sistema. Se autorreplica sin intervención humana. Cifra datos para extorsionar al usuario. Recopila información confidencial.

¿Qué caracteriza a un adware como malware?. Infectar sistemas a través de redes. Mostrar anuncios no deseados en el sistema. Cifrar archivos importantes. Crear una red de dispositivos controlados.

¿Qué técnica utiliza el spear-phishing?. Ataques masivos a través de correos electrónicos. Correos personalizados dirigidos a un objetivo específico. Compromiso de un sitio web confiable. Descarga automática de malware al visitar un sitio.

¿Qué tipo de ataque utiliza vulnerabilidades en software de confianza para comprometer usuarios?. Phishing. Watering hole attack. Ataque a la cadena de suministro. Drive-by-download.

¿Qué tipo de malware atacó infraestructuras críticas en 2010?. Stuxnet. ILoveYou. CIH/Chernobyl. Zeus.

¿Qué malware fue conocido por sobrescribir la BIOS en sistemas antiguos?. CIH/Chernobyl. ILoveYou. Zeus. WannaCry.

¿Qué técnica utilizó el ransomware WannaCry para propagarse rápidamente?. Ataque de phishing masivo. Explotación de una vulnerabilidad en SMB. Sobrescribir el firmware de la BIOS. Uso de macros en documentos de Office.

¿Qué define la arquitectura x86?. Un sistema operativo específico para servidores. Una familia de procesadores y su conjunto de instrucciones. Un protocolo de red utilizado en ciberseguridad. Un software de gestión de procesos.

¿En qué año se introdujo el procesador Intel 8086, origen de la arquitectura x86?. 1975. 1978. 1980. 1985.

¿Cuántos niveles de privilegio define la arquitectura x86?. 2. 3. 4. 5.

¿Qué nivel de privilegio en x86 es utilizado para ejecutar aplicaciones de usuario?. Nivel 0. Nivel 1. Nivel 2. Nivel 3.

¿Qué tipo de endianness utiliza la arquitectura x86?. Little-endian. Big-endian. Mixed-endian. No utiliza endianness.

¿Cuál era el tamaño máximo de memoria accesible con el procesador Intel 8086?. 512 KB. 1 MB. 2 MB. 4 MB.

¿Qué fórmula se utiliza para calcular una dirección de memoria segmentada en la arquitectura x86?. SEGMENTO + DESPLAZAMIENTO. SEGMENTO - DESPLAZAMIENTO. SEGMENTO * 16 + DESPLAZAMIENTO. SEGMENTO / 16 + DESPLAZAMIENTO.

¿Qué registro almacena el acumulador en la arquitectura x86?. EIP. ESP. EAX. EBX.

¿Qué registro en x86 señala la siguiente instrucción a ejecutar?. EAX. ESP. EIP. EBP.

¿Qué significa que una arquitectura sea little-endian?. Los bytes menos significativos se almacenan primero en memoria. Los bytes más significativos se almacenan primero en memoria. No usa direccionamiento en memoria. El formato de datos se organiza en big-endian.

¿Qué registro en x86 se utiliza para manejar la pila (stack)?. EIP. EAX. ESP. EBX.

¿Qué registro en x86 se utiliza como base para direccionamiento en la pila?. ESP. EBP. EAX. EBX.

¿Qué instrucción en ensamblador se utiliza para realizar un salto condicional?. JMP. MOV. CALL. JE.

¿Qué instrucción en ensamblador se utiliza para llamar a una subrutina?. JMP. MOV. CALL. RET.

¿Qué registro se utiliza en x86 para apuntar a las variables locales en una función?. ESP. EBP. EIP. ECX.

¿Qué registro en x86 se utiliza para el conteo en bucles?. EAX. ECX. ESP. EBP.

¿Qué segmento en x86 contiene las instrucciones ejecutables del programa?. Segmento de código. Segmento de datos. Segmento de pila. Segmento extra.

¿Qué segmento se utiliza en x86 para operaciones con cadenas de texto?. Segmento de código. Segmento de datos. Segmento extra. Segmento de pila.

¿Qué instrucción se utiliza para mover datos entre registros en x86?. JMP. MOV. ADD. SUB.

¿Qué instrucción en ensamblador realiza una suma en x86?. ADD. MOV. CMP. CALL.

¿Qué instrucción en ensamblador se utiliza para comparar dos valores?. CMP. ADD. MOV. JMP.

¿Qué es el análisis estático de malware?. Ejecución del malware en un entorno controlado para observar su comportamiento. Identificación de características del malware sin ejecutarlo. Uso de exploits para atacar sistemas vulnerables. Modificación del malware para evitar su detección.

¿Cuál es el objetivo principal del análisis estático?. Descubrir cómo se propaga el malware. Identificar indicadores de compromiso (IoCs). Verificar la persistencia del malware. Analizar la interacción del malware con servidores C&C.

¿Qué herramienta permite analizar las cadenas de texto en un archivo binario?. Strings. HashCalc. dnSpy. ProcMon.

¿Qué utilidad tiene el hashing en el análisis estático de malware?. Identificar cambios en un archivo. Ejecutar el malware en un entorno controlado. Obtener datos sobre la memoria utilizada por el malware. Extraer instrucciones de código.

¿Qué componente en un archivo PE contiene las direcciones de las funciones importadas?. DOS Header. Import Table. text Section. Export Table.

¿Qué sección de un archivo PE contiene el código ejecutable?. .rsrc. .text. .data. .reloc.

¿Por qué es útil buscar cadenas de texto en un archivo sospechoso?. Permite ejecutar el malware sin riesgos. Facilita la detección de información útil como URLs, contraseñas, o mensajes. Es la única forma de identificar un archivo malicioso. Genera un hash para comparar archivos.

¿Qué hash es más resistente a colisiones?. MD5. CRC32. SHA-256. Base64.

¿Qué sección de un archivo PE contiene variables inicializadas?. .text. .data. .rsrc. .reloc.

¿Qué sección en un archivo PE almacena información sobre reubicación de direcciones?. .text. .rsrc. .reloc. .data.

¿Qué utilidad tiene el DOS Header en un archivo PE?. Ejecutar el malware en sistemas modernos. Permitir que el archivo sea ejecutado en sistemas DOS antiguos. Almacenar cadenas de texto maliciosas. Generar hashes para el análisis.

¿Qué son los indicadores de compromiso (IoCs)?. Herramientas de depuración utilizadas en análisis dinámico. Información que permite identificar y rastrear amenazas específicas. Hashes generados al ejecutar un malware. Secciones de un archivo PE.

¿Cuál de los siguientes es un IoC común?. Código ensamblador de una función específica. Dirección IP maliciosa utilizada por el malware. Configuración del BIOS. Estructura interna del archivo PE.

¿Qué herramienta se utiliza para calcular el hash de un archivo en análisis estático?. HashCalc. Strings. IDA Pro. Wireshark.

¿Qué herramienta gratuita permite enviar muestras de malware para análisis compartido?. dnSpy. VirusTotal. ProcMon. Ghidra.

¿Qué sección de un archivo PE almacena información sobre las funciones exportadas?. .data. .text. Export Table. Import Table.

¿Qué sección de un archivo PE puede incluir íconos y datos visuales utilizados por el malware?. .text. .reloc. .rsrc. Import Table.

¿Qué significa la firma "PE" en la cabecera de un archivo PE?. Portable Executable. Physical Extension. Process Engine. Portable Encryption.

¿Qué tipo de información es útil extraer de un análisis de cadenas en malware?. Funciones exportadas por el malware. Direcciones IP, URLs, y nombres de archivo maliciosos. Configuración del sistema operativo. Instrucciones ensamblador específicas.

¿Qué característica de un archivo puede utilizarse como un IoC?. Tamaño del archivo. Hash del archivo. Fecha de creación. Nombre del archivo.

¿Qué utilidad tiene la tabla de importación en un archivo PE durante su ejecución?. Ejecutar el programa en sistemas antiguos. Referenciar funciones externas necesarias para el programa. Cargar íconos y otros recursos visuales. Reubicar el programa en memoria.

¿Qué indica la presencia de múltiples secciones desconocidas en un archivo PE?. Es un archivo legítimo. Puede ser un archivo corrupto o modificado maliciosamente. Contiene datos temporales generados por el sistema. Es una librería de sistema común.

¿Qué ventaja tiene el análisis estático frente al dinámico?. No requiere ejecutar el malware, reduciendo riesgos. Permite observar el comportamiento en tiempo real. Identifica cambios en el sistema durante la ejecución. Es más rápido para identificar IoCs durante su ejecución.

¿Qué herramienta permite visualizar la estructura interna de un archivo PE?. PEview. HashCalc. Wireshark. Strings.

¿Qué ventaja tiene el uso de IoCs en la mitigación de malware?. Permite identificar comportamientos maliciosos en tiempo real. Ayuda a detectar archivos y conexiones relacionadas con una amenaza específica. Ejecuta el malware en un entorno controlado para observar su comportamiento. Permite calcular hashes de archivos para reducir falsos positivos.

¿Qué es el análisis dinámico de malware?. Examinación de archivos maliciosos sin ejecutarlos. Ejecución del malware en un entorno controlado para observar su comportamiento. Desmontaje de código en herramientas de ingeniería inversa. Análisis de hashes para verificar la integridad de archivos.

¿Cuál es el objetivo principal del análisis dinámico?. Determinar cómo interactúa el malware con el sistema. Obtener el hash del archivo malicioso. Describir la estructura interna del archivo ejecutable. Identificar el autor del malware.

¿Qué herramienta se utiliza para monitorear actividades del sistema durante el análisis dinámico?. Process Monitor (ProcMon). Strings. IDA Pro. VirusTotal.

¿Qué herramienta permite establecer puntos de interrupción para depurar malware?. x32dbg. Wireshark. PEview. HashCalc.

¿Qué herramienta se utiliza para capturar y analizar tráfico de red durante el análisis dinámico?. Wireshark. ProcMon. PEview. Strings.

¿Qué tipo de tráfico es más común en malware que utiliza servidores de comando y control (C&C)?. HTTP y HTTPS. SMB. Telnet. FTP.

¿Por qué se utilizan máquinas virtuales en el análisis dinámico?. Para ejecutar el malware en el hardware principal. Para limitar los daños al sistema anfitrión y observar el malware en un entorno controlado. Para evitar el uso de herramientas de análisis avanzadas. Para permitir el acceso del malware a servidores externos.

¿Qué se debe desactivar en una máquina virtual para evitar que el malware detecte que está en un entorno virtualizado?. Las herramientas de red. Los adaptadores de red virtuales. Los indicadores de virtualización, como herramientas de VMware o VirtualBox. La conexión a Internet.

¿Qué herramienta permite realizar un análisis completo de las conexiones y datos enviados por el malware durante su ejecución?. Wireshark. ProcMon. x32dbg. Strings.

¿Qué herramienta permite monitorear cambios en el registro de Windows durante la ejecución del malware?. ProcMon. PEview. Wireshark. VirusTotal.

¿Qué clave del registro de Windows es comúnmente utilizada por malware para garantizar persistencia?. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. HKEY_LOCAL_MACHINE\Hardware. HKEY_CLASSES_ROOT\.exe. HKEY_CURRENT_USER\Control Panel.

¿Qué permite hacer un breakpoint en un depurador como x32dbg?. Interrumpir la ejecución del malware en un punto específico para analizar su estado. Cambiar el hash del archivo ejecutable. Ejecutar el malware en un entorno controlado. Capturar tráfico de red generado por el malware.

¿Qué instrucción en ensamblador es comúnmente utilizada para llamar funciones en un malware?. CALL. JMP. MOV. RET.

¿Qué significa persistencia en el contexto de malware?. La capacidad de propagarse a través de una red. La habilidad de permanecer activo en un sistema incluso después de reinicios. La técnica de cifrar datos para solicitar rescate. La acción de eliminar evidencias del sistema.

¿Cuál es el propósito principal de las técnicas de persistencia?. Ocultar el malware de los usuarios. Garantizar la ejecución continua del malware. Bloquear el acceso al sistema operativo. Evitar el análisis estático del archivo.

¿Qué técnica de persistencia utiliza claves de registro en Windows?. DLL hijacking. Uso de claves "Run" en el registro. Hooking de funciones del sistema. Creación de tareas programadas.

¿Qué es DLL hijacking?. Modificar una DLL existente para cargar código malicioso. Reemplazar una DLL legítima con una maliciosa en la misma ruta. Ejecutar una DLL desde memoria sin guardarla en disco. Interceptar tráfico de red utilizando una DLL.

¿Qué significa hooking en el contexto de malware?. Modificar funciones del sistema para interceptarlas y redirigirlas. Capturar paquetes de red enviados por el malware. Reemplazar un ejecutable legítimo por uno malicioso. Inyectar código directamente en la memoria del sistema.

¿Qué técnica utiliza "SetWindowsHookEx" en Windows?. Hooking basado en eventos del sistema. Persistencia mediante claves del registro. Inyección de DLLs en procesos del sistema. Monitoreo de tráfico de red.

¿Cómo utiliza el malware las tareas programadas para lograr persistencia?. Crea una tarea que ejecuta el malware en intervalos definidos o al iniciar el sistema. Inyecta código en procesos legítimos del sistema. Desactiva servicios críticos del sistema. Cifra el registro de eventos del sistema.

¿Cuál es una funcionalidad común de malware relacionado con la exfiltración de datos?. Registrar las pulsaciones de teclas (keylogging). Cifrar archivos del sistema operativo. Inyectar código en aplicaciones de usuario. Modificar claves del registro.

¿Qué tipo de malware utiliza técnicas de persistencia para ejecutar código al conectar un dispositivo USB?. Worm. Trojan. Rootkit. Adware.

Dada la siguiente ruta del Registro de Windows: "Equipo\HKEY_LOCAL_MACHINE\SYSTEM\DriverDatabase", selecciona la afirmación que define de forma más precisa al objeto "HKEY_LOCAL_MACHINE". Almacena configuraciones específicas para cada usuario del sistema. Guarda información sobre hardware y configuraciones compartidas por todos los usuarios. Contiene datos temporales utilizados durante el arranque. Registra información sobre archivos encriptados en el sistema.

¿Qué clave del registro de Windows es comúnmente utilizada por malware para garantizar persistencia?. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. HKEY_LOCAL_MACHINE\Software\Policies. HKEY_CLASSES_ROOT\.exe. HKEY_LOCAL_MACHINE\System\CurrentControlSet.

¿Qué técnica utiliza el malware para interceptar y redirigir funciones críticas del sistema?. Hooking. DLL hijacking. Keylogging. Inyección de código.

¿Qué función maliciosa puede realizar un rootkit?. Capturar tráfico de red cifrado. Ocultar procesos maliciosos y archivos en el sistema. Inyectar código directamente en el BIOS del sistema. Crear conexiones directas con servidores remotos.

¿Qué técnica permite al malware asegurarse de que se ejecutará con privilegios elevados?. Modificar el BIOS del sistema. Configurar un servicio en el registro de Windows. Hooking de funciones de usuario. Crear una tarea programada con credenciales limitadas.

¿Qué técnica utiliza el malware para evitar ser detectado por antivirus?. Uso de auto-start extensibility points (ASEPs). Empaquetamiento o cifrado del archivo ejecutable. Registro de pulsaciones de teclas (keylogging). Redireccionamiento de tráfico a servidores locales.

¿Qué significa polimorfismo en el contexto de malware?. Modificar dinámicamente el código malicioso para evadir detección. Usar múltiples tipos de inyecciones de procesos en simultáneo. Ejecutar múltiples cargas útiles en el mismo sistema. Utilizar la memoria virtual para alojar el malware.

¿Qué impacto tiene un ransomware en los sistemas comprometidos?. Cifra los archivos del usuario y solicita un rescate para recuperarlos. Elimina archivos críticos del sistema operativo. Infecta otros dispositivos a través de la red local. Bloquea la conexión a Internet de los usuarios.

¿Qué herramienta puede usarse para detectar la presencia de un rootkit en un sistema?. GMER. VirusTotal. HashCalc. Wireshark.

¿Qué característica tiene un malware sigiloso (stealth malware)?. Cifra archivos para solicitar un rescate. Oculta su presencia de herramientas de análisis y del usuario. Se autorreplica rápidamente por la red. Ejecuta múltiples cargas útiles al mismo tiempo.

En la arquitectura x86, ¿en qué nivel de privilegio se ejecutan, de forma general, las aplicaciones de usuario?. Nivel 0. Nivel 1. Nivel 2. Nivel 3.

¿Cuál de los siguientes registros contiene el valor de segmento donde se encuentra el código?. DS. ES. CS. SS.

En la arquitectura x86, ¿qué tamaño tiene un operando de tipo WORD?. 1 byte. 2 bytes. 4 bytes. 8 bytes.

En la arquitectura x86, ¿a dónde apunta la combinación de registro de segmento y apuntador CS:EIP?. A la dirección de memoria donde se encuentra el siguiente operando. A la dirección de memoria donde está el siguiente bloque de datos. A la dirección de memoria de la siguiente instrucción a ejecutar. A la dirección de memoria del stack pointer.

En lenguaje ensamblador para la arquitectura x86, indica qué tipo de instrucción es “IN <dst>, <src>”. Operación de entrada/salida. Movimiento de datos. Interrupción del sistema. Comparación lógica.

¿En qué encabezado se encuentra, de forma predeterminada, el texto "This program cannot be run in DOS mode"?. NT Header. DOS Header. PE Header. .text Section.

¿Qué cadena de texto característica podemos observar en la firma de archivo que identifica el DOS Header?. DOS. MZ. PE. EXE.

¿En qué sección se encuentran generalmente los recursos utilizados por el ejecutable, como íconos, diálogos?. .text. .rsrc. .data. .reloc.

Dada la siguiente ruta del Registro de Windows: "Equipo\HKEY_LOCAL_MACHINE\SYSTEM\DriverDatabase", selecciona la afirmación que define de forma más precisa al objeto "HKEY_LOCAL_MACHINE". Almacena configuraciones específicas para cada usuario del sistema. Guarda información sobre hardware y configuraciones compartidas por todos los usuarios. Contiene datos temporales utilizados durante el arranque. Registra información sobre archivos encriptados en el sistema.

¿En qué siglo existieron los primeros troyanos bancarios?. Siglo XVIII. Siglo XIX. Siglo XX. Siglo XXI.

¿Qué herramientas se usan con ensambladores como C# y Java?. Visual Studio y Eclipse. IDA Pro y Wireshark. HashCalc y VirusTotal. ProcMon y PEview.

¿Qué significa el encabezado de TC Header que se visualiza como MZDS?. Indica que el archivo es ejecutable. Identifica una sección de código cifrada. Es un error en la estructura del archivo PE. Es una variación del DOS Header utilizada en malware.

¿Dónde están los datos o qué formato tienen los datos CSDS?. En la sección .data como datos inicializados. En la sección .text como instrucciones ejecutables. En la sección .rsrc como recursos del programa. En la sección .reloc como información de reubicación.

Si una bandera tiene 0 y 1, ¿qué significa o si tiene 0 y 0?. Indican un estado lógico en operaciones de comparación. Definen permisos de ejecución en la CPU. Determinan el tamaño de los datos en memoria. Especifican un error de segmentación.

¿Qué herramienta utiliza el algoritmo de hashing difuso para calcular Context Triggered Piecewise Hashes (CTPH)?. VirusTotal. SHA-256. ssdeep. ProcMon.

¿Qué se define como la unidad básica de ejecución dentro de un proceso?. Hilo (Thread). Proceso. Bloque de memoria. Núcleo del sistema operativo.

¿Qué rol desempeña el kernel en la ejecución de un hilo?. Proporciona un espacio de memoria independiente para cada hilo. Maneja operaciones críticas y supervisa la pila en modo kernel. Permite el acceso directo del hilo a los recursos del hardware. Asigna múltiples identificadores (Thread IDs) a un hilo.

¿Qué es el Thread-Local Storage (TLS) y para qué se utiliza?. Una sección compartida por todos los hilos de un proceso. Un espacio privado de almacenamiento exclusivo para cada hilo. Una parte de la pila del kernel utilizada para la gestión de recursos globales. Un área del sistema operativo que almacena identificadores de hilo.

¿Qué recurso utilizan los hilos para acceder a funcionalidades externas en tiempo de ejecución?. Librerías dinámicas (DLLs). El kernel stack del sistema operativo. Registros compartidos del procesador. Identificadores de hilos (Thread IDs).

¿Qué información almacena el Process Environment Block (PEB) en Windows?. Solo la lista de procesos activos. Detalles del entorno de proceso, como Image Base Address y DLLs cargadas. Información de usuario y contraseñas. Claves de registro críticas para el sistema.

¿Por qué el PEB es utilizado por el malware?. Para modificar claves del registro automáticamente. Para almacenar datos cifrados. Para llevar a cabo inyección de código y evasión de detecciones. Para instalar servicios persistentes en el sistema.

¿Cuál es la función del registro AX en x86?. Almacenar punteros para datos en memoria. Operaciones aritméticas y de entrada/salida. Contador en bucles y desplazamientos. Manejo de interrupciones del sistema.

¿Qué nivel de privilegio (ring) se utiliza para ejecutar controladores de dispositivo en x86?. Ring 0. Ring 1. Ring 2. Ring 3.

¿Qué característica define al nivel Ring 0 en x86?. Permite ejecutar aplicaciones de usuario. Es el nivel más restringido de privilegio. Proporciona acceso total a los recursos del procesador. Se utiliza para ejecutar servicios de red.

¿Qué representa un hilo en un sistema operativo?. Un archivo ejecutable dentro de un proceso. Una unidad básica de ejecución dentro de un proceso. Una conexión entre dos procesos. Un servicio ejecutado en segundo plano.

¿Qué componente NO pertenece al contenido de un hilo en x86?. Registros de la CPU. TLS (Thread Local Storage). Lista de DLLs cargadas. Identificador único (Thread ID).

¿Qué sección de un archivo PE se utiliza para almacenar datos globales?. .data. .text. .edata. .rdata.

¿Cuál es el propósito principal de FakeNet en un análisis de malware?. Permitir al malware comunicarse con sus servidores reales. Simular un entorno de red para observar las actividades de malware. Desensamblar el código del malware para análisis estático. Generar hashes de archivos ejecutables.

¿Qué tipo de información puede obtenerse utilizando FakeNet?. Rutas de persistencia en el registro. Direcciones IP y URLs con las que se comunica el malware. Estructuras PE de archivos binarios. Strings ocultos en el código fuente.

¿Cuál es la funcionalidad principal de ProcMon en el análisis dinámico?. Supervisar claves del registro, procesos y actividad en archivos en tiempo real. Capturar tráfico de red generado por el malware. Desensamblar el código fuente del malware. Identificar cadenas de texto en binarios maliciosos.

¿Para qué se utiliza dnSpy en el análisis de malware?. Analizar solicitudes de red del malware. Desensamblar y depurar archivos .NET para análisis de código. Generar hashes de archivos ejecutables. Identificar persistencia en claves del registro.

¿Qué característica de dnSpy facilita el análisis de malware basado en .NET?. Captura de tráfico de red malicioso. Modificación y recompilación del código desensamblado. Generación automática de firmas de IoCs. Depuración en sistemas Windows Kernel.

¿Qué técnica de persistencia utiliza claves del registro como HKEY_CURRENT_USER...\Run?. Hooking. DLL hijacking. Auto-start extensibility points (ASEPs). Keylogging.

¿Qué tarea programada puede ser utilizada para persistencia en Windows?. Rundll32.exe. At.exe. Regedit.exe. Explorer.exe.

¿Qué herramienta se utiliza para analizar las cadenas de texto en un binario sin ejecutarlo?. dnSpy. FLOSS. Wireshark. FakeNet.

¿Qué encabezado en un archivo PE contiene información sobre el punto de entrada del programa?. DOS Header. Optional Header. Section Header. NT Header.

¿Qué técnica de evasión utiliza el malware para esconder su presencia modificando funciones del sistema operativo?. Hooking. Inyección de código. Polimorfismo. Uso de claves Run.

¿Qué técnica de evasión usa el malware para cambiar su código y evitar ser detectado por firmas tradicionales?. Inyección de DLL. Polimorfismo. Hooking. Uso de FakeNet.

¿Qué archivo contiene el código ejecutable de una aplicación en Android?. APK. DEX. XML. JAR.

¿Qué vector de ataque es común en Android para distribuir malware?. Archivos ejecutables PE. Tiendas de aplicaciones no oficiales. Uso de macros en documentos. Modificación de claves del registro.

¿Qué función principal tiene el desensamblador en Ghidra?. Convertir binarios a ensamblador. Depurar programas. Generar hashes.

¿Qué muestra el código desensamblado en Ghidra?. Instrucciones de máquina. Librerías importadas. Registros de red.

¿Qué ventaja ofrece el análisis dinámico avanzado?. Examina memoria cargada. Genera hashes automáticos. Identifica dependencias externas.

¿Qué comando en x32dbg permite ejecutar paso a paso?. Step Over. Execute All. Run to Cursor.

¿Qué permite el panel 'Locales' en dnSpy?. Consultar variables. Ver encabezados de PE. Editar firmas.

¿Qué permite analizar dnSpy al recuperar memoria?. Malware desempaquetado. Funciones de la API. Firmas criptográficas.

¿Qué consiste en estudiar el código del ejecutable sin ejecutarlo?. Análisis estático. Análisis dinámico. Debugging.

¿Qué herramienta permite convertir código máquina a ensamblador?. Desensamblador. Depurador. Compilador.

¿Qué permite a dnSpy manejar ejecutables .NET?. Su motor de decompilación ILSpy. Su soporte para Java. Su analizador de memoria.

¿nsertar breakpoints en dnSpy?. Hacer clic en el margen izquierdo. Acceder al menú 'Archivo'. Ejecutar el código fuente.

¿Qué ventaja ofrece el análisis dinámico avanzado?. Examina memoria cargada. Genera hashes automáticos. Identifica dependencias externas.

¿Cuál es uno de los usos principales de la ingeniería inversa?. Crear malware. Analizar vulnerabilidades. Mejorar hardware. Diseñar aplicaciones nuevas.

¿Qué tipo de malware utilizó el exploit EternalBlue?. Stuxnet. ILoveYou. Wannacry. AIDS Trojan.

¿Qué sistema de nomenclatura utiliza el formato 'HEUR:Trojan.Win32.DllHijacker.gen'?. Microsoft. Kaspersky. Avast. McAfee.

¿Qué malware es considerado el primero en JavaScript?. Kak Worm. ILoveYou. Stuxnet. Morris Worm.

¿Qué malware utilizó una vulnerabilidad en Microsoft IIS?. Code Red. Sasser. ILoveYou. Netbus.

¿Qué diferencia a un RAT de un backdoor?. Administración remota. Un falso antivirus. Un troyano avanzado. Cifrar información.

¿Qué herramienta se utiliza para traducir código de máquina a ensamblador?. Compilador. Depurador/desensamblador. Intérprete. Loader.

¿Cuál es el registro que actúa como contador en instrucciones de bucles?. AX. BX. CX. DX.

¿Qué registro es utilizado para almacenar datos temporales?. AX. BX. DX. EX.

¿Cuál es el modo de direccionamiento que utiliza un valor inmediato como operando?. Directo a registro. Indirecto a registro. Inmediato. Relativo.

¿Qué identificador único tiene cada hilo en un proceso?. Process ID. Thread ID. Stack ID. Kernel ID.

¿Cuál es uno de los usos principales de la ingeniería inversa?. Crear malware. Analizar vulnerabilidades. Mejorar hardware. Diseñar aplicaciones nuevas.

¿Qué recurso comparten todos los hilos dentro de un mismo proceso?. Identificador único. Espacio de direcciones virtuales. Su pila. Registros de la CPU.

¿Qué convención de llamada utiliza registros como ECX y EDX para los primeros argumentos?. cdecl. stdcall. fastcall. winapi.

¿Qué bandera indica un desbordamiento en una operación aritmética?. ZF. CF. OF. SF.

¿Qué convención de llamada se utiliza comúnmente para la API de Windows?. cdecl. stdcall. fastcall. safecall.

¿Qué bandera se activa si el resultado de una operación es cero?. ZF. CF. OF. SF.

¿Qué instrucción realiza una operación lógica 'O exclusiva'?. AND. OR. XOR.

¿Qué instrucción decrementa el registro CX y realiza un salto si no es cero?. LOOP. JMP. CALL. RET.

¿Qué instrucción se utiliza para dividir dos operandos en ensamblador?. MUL. DIV. SUB. INC.

¿Qué registro en x86 almacena la dirección de retorno después de una llamada a procedimiento?. ESP. EBP. EIP. ECX.

¿Qué componente del Process Environment Block (PEB) almacena la lista de DLLs cargadas?. ProcessParameters. ImageBaseAddress. Ldr. CommandLine.

¿Qué clave del registro de Windows es comúnmente manipulada por malware para establecer persistencia?. HKEY_CLASSES_ROOT. HKEY_CURRENT_USER. HKEY_LOCAL_MACHINE. HKEY_USERS.

¿Qué técnica utiliza el malware para mantenerse activo tras un reinicio del sistema?. Hooking. Persistencia. Polimorfismo. DLL Hijacking.

¿Qué instrucción en ensamblador realiza un salto incondicional?. JZ. JMP. CALL. LOOP.

¿Qué significa la bandera ZF en el registro EFLAGS?. Indica que hubo un desbordamiento. Indica que el resultado es igual a cero. Indica que la operación aritmética es negativa. Indica que hubo un acarreo.

¿Qué herramienta se utiliza para realizar ingeniería inversa de binarios y es conocida por su interfaz gráfica?. IDA Pro. Ghidra. FakeNet. WinDbg.

¿Qué característica define a los registros AX, BX, CX y DX en la arquitectura x86?. Son registros de propósito general. Son registros exclusivos para operaciones matemáticas. Son registros específicos para instrucciones de control de flujo. Son registros utilizados únicamente en modo kernel.

¿Qué estructura contiene las DLL cargadas por un proceso en memoria?. PEB. TEB. Thread Context. Import Table.

¿Qué herramienta permite descompilar archivos APK en Android?. Dex2Jar. APKTool. JD-GUI. Androguard.

¿Qué formato utiliza Dex2Jar al convertir archivos .dex?. JAR. APK. ODEX. ELF.