forense

que afirmación es verdadera en relacion a la aplicacion autopsy. es la principal plataforma forense digital opensource o de codigo abierto con todas la funciones principales que se esperan de las heramientas forenses comerciales. es una aplicación de pago. solo funciona en windows y mac. de tsk o de thesleshkit es una opcion a autopsy más completa.

la herramienta de auditoria de seguridad y hardering para extraer sistemas unix es ...

que afirmacion es verdadera en relacion a los sistemas de ficheros ext extendido en los sistemas unix. los sistemas de ficheros ext4 tienen 4 marcas de tiempo o timestamps. cada fichero tiene asignado un inodo que es exactamente igual que los metadatos en los sistemas de ficheros ntfs. los sistemas de ficheros ext3 tienen 4 marcas de tiempo o timestamp. los sistemas de ficheros ext2 tienen un soporte transaccional.

con que comando podemos ver el numero de inodo de los sistemas de ficheros de las distribuciones gnlinux. file. strings. stat. ls -i.

que afirmacion es falsa en relacion a los timestamps en sistemas de ficheros ext en distribuciones linux. el comando debug efs permite ver la fecha de creacion en los sistemas de ficheros ext3. mediante el comando touch podemos hacer labores antiforense modificando los atributos de tiempo o timestamp. en ext4 hay 4 marcas de tiempo. el comando timedate nos proporciona informacion detallada sobre la fecha y la hora y esta disponible en los sistemas que utilizan system t.

que afirmacion es falsa en relacion a los rootkits en los sistemas derivados de unix. a nivel de kernel añaden o modifican una parte del codigo de dicho nucleo para ocultar el backdoor. los rootkits a nivel de aplicacion son los mas peligrosos ya qye su deteccion puede ser muy complicada. los rootkits se usan habitualmente para esconder algunas aplicaciones que podrian actuar en el sistema atacado y suelen incluir puertas traseras. los rootkits que actuan como aplicacion pueden reemplazar los archivos ejecutables u originales que contengan algun troyano o tambien pueden modificar el comportamiento de las aplicaciones existentes.

que afirmacion es falsa en relacion a los sistemas unix. la mayoria de los ficheros extraidos durante la extraccion en caliente o frio son binarios que es necesario parsearlos durante el analisis. parraprot es un sistema de ficheros virtual que contiene informacion sobre los diferentes procesos en ejecucion almacenados en memoria ram. las principales distribuciones de linux utilizan system c como sistema de inicio en lugar de i derivado de sistemas unix mas antiguos.

que afirmacion es verdadera en relacion a los timestamp en sistemas de ficheros extendidos en distribuciones unix. el comando file podemos hacer labores antiforenses modificando los atributos de tiempo. en ext4 minuto 12. los atributos de tiempo se almacenan junto con otra informacion en el inodo de cada fichero. en ext4 hay 3 marcas de tiempo.

la herramienta de datacarving opensource y multiplataforma que mejores resultados ofrece. forepost. scarpell. fotorec. desklis.

que afirmacion es verdadera en relacion al comando touch. el comando touch no cambia el tiempo de modificacion de los metadatos. el comando touch -a actualiza la fecha de ultima modificacion. el comando touch sin ninguna otra opcion actualiza la fecha de ultimo acceso, ultima modificacion y la fecha de creacion de un fichero. el comando touch -m actualiza la fecha de ultimo acceso.

cual es la sintaxis de volatility. vol.py -f volcado --profile perfil plugin. vol.py volcado --profile perfil y plugin. vol.py volcado perfil --plugin y plugin. vol.py -f volcado perfil y plugin.

cual de los siguientes plugins de volatility permite identificar el sistema operativo del hardware de volcado de memoria ram. highlist. imageinfo. pslist. netscan.

en relacion a la captura de memoria ram de una maquina virtual. en vmware se obtiene copiando el fichero vmf. en virtualbox se obtiene mediate el comando vboxmanage debugvirtualmachine nombreMaquina dump --filename. no se puede extraer.

en los servidores *nix los ficheros de configuracion de los principales servicios se guardan en. /var/log. /etc/log. /home/documents/log.

que afirmacion es verdaddera en ralacion a la captura de memoria ram en los sistemas unix. lime se puede utilizar para adquirir memoria sin conocer a priori la distribucion del sistema operativo o el kernel, no se necesita compilacion. lime (linux memory extractor) es un modulo de kernel cargable que permite la adquisicion de memoria volatil de linux como linux o android. se puede hacer un volcado mediante el comando sudo dd. avpl es una herramienta de adquisicion de memoria volatil que necesita compilacion del kernel de la maquina.

con el comando stat podemos ver la fecha de la creacion de un fichero. verdadero. falso.

habitualmente se hace analisis forense de servidores (por ejemplo servidores web) se hace analisis forense de servidores ... verdadero. falso.

selecciona los comandos imprescindibles del analisis en los sistemas unix. ls. find. grep. mv.

que afirmacion es correcta sobre las sesiones del *nix podemos ver los ultimos inicios de sesion correctos. visualizando el fichero var/log/btmp. visualizando el fichero de texto /var/log/wdmp. ejecutando el comando last. ejecutando el comando last -b.

cual de los siguientes programas no se encarga de buscar signos de rootkits en los sistemas unix. chk rootkit. mk rootkit. rk rootkithunter.