MITIGACIONES Y SOLUCIONES ANTI-MALWARE

¿Qué técnica impide ejecutar código en regiones de memoria destinadas a datos?. A) ASLR. B) DEP. C) RELRO. D) PXN.

¿Qué característica proporciona ASLR (Address Space Layout Randomization)?. A) Cifrado del disco duro. B) Aleatorización de claves de registro. C) Aleatorización de la disposición de memoria. D) Aislamiento de procesos sospechosos.

¿Qué técnica utiliza firmas digitales para detectar malware conocido?. A) Detección heurística. B) Detección por firmas. C) Machine Learning. D) Análisis de comportamiento.

¿Cuál de las siguientes herramientas permite definir qué ejecutables están permitidos en un sistema Windows?. A) Autoruns. B) AppArmor. C) AppLocker. D) Ghidra.

¿Qué técnica detecta malware basándose en el análisis del comportamiento del programa en ejecución?. A) Análisis estático. B) Análisis dinámico basado en comportamiento. C) Obfuscación. D) Polimorfismo.

¿Qué técnica impide modificar estructuras clave como la GOT o PLT en un binario?. A) Stack cookies. B) DEP. C) RELRO. D) ASLR.

¿Cuál es el objetivo de los stack cookies (canarios de pila)?. A) Prevenir inyecciones SQL. B) Detectar firmas de malware. C) Detectar desbordamientos de pila antes del retorno. D) Cifrar el contenido de la pila.

¿Cuál es una limitación conocida de ASLR?. A) Solo funciona en Windows. B) No previene ejecución de código. C) Puede ser derrotado con memory leaks. D) Solo protege el disco.

¿Qué técnica de mitigación impide ejecutar código desde regiones de memoria destinadas a datos?. A) ASLR. B) DEP. C) RELRO. D) PIE.

¿Cuál de estas técnicas NO protege contra una cadena ROP?. A) CFI. B) CET. C) DEP. D) Stack cookies.

¿Qué parámetro permite activar el modo completo de ASLR en Linux?. A) /etc/sysctl.d/aslr_full. B) /proc/sys/kernel/randomize_va_space. C) /sys/kernel/aslr_mode. D) aslr_enable=1.

¿Qué hace PIE (Position Independent Executable)?. A) Evita la ejecución remota. B) Permite que un binario se cargue en distintas direcciones de memoria cada vez. C) Requiere root. D) Desactiva ASLR.

¿Qué es RELRO?. A) Un tipo de cifrado. B) Protección de estructuras como GOT/PLT contra sobrescritura. C) Monitor de llamadas al sistema. D) Revisión de direcciones IP.

RELRO (Relocation Read-Only) impide que un atacante modifique las estructuras de resolución de funciones dinámicas. A) No RELRO. B) Partial RELRO. C) Full RELRO. D) Semi RELRO.

¿Cuál de estas tecnologías impide que el kernel ejecute código en zonas de usuario?. A) DEP. B) ASLR. C) SMEP/PXN. D) Stack cookies.

¿Dónde se almacena el valor del stack canary en Linux?. A) En la pila. B) En el heap. C) En el TLS del hilo actual. D) En el segmento .data.

¿Qué hace una técnica de Control Flow Integrity (CFI)?. A) Evita el uso de rootkits. B) Verifica que el flujo de ejecución sigue rutas legítimas predefinidas. C) Bloquea la pila. D) Restringe funciones de red.

¿Qué herramienta usa shadow stack y endbr64 para proteger contra ROP?. A) StackGuard. B) Intel CET (Control Enforcement Technology). C) ClamAV. D) AppArmor.

¿Qué tipo de código lleva una firma criptográfica adjunta para garantizar autenticidad?. A) Código hash. B) Código firmado digitalmente. C) Código anónimo. Código heurístico.

¿Qué módulo de Linux permite restringir el comportamiento de aplicaciones según perfiles?. A) Applocker. B) AppArmor. C) ClamAV. D) SELinux.

¿Qué herramienta de Windows permite restringir qué ejecutables pueden lanzarse?. A) Autoruns. B) Applocker. C) Task Manager. D) Event Viewer.

¿Qué herramienta analiza qué se ejecuta al arrancar el sistema?. A) Wireshark. B) Autoruns. C) PEStudio. D) Ghidra.

¿Qué hace un sistema EDR?. A) Elimina automáticamente virus conocidos. B) Cifra el sistema. C) Monitoriza el comportamiento en tiempo real y responde ante incidentes. D) Descarga parches automáticamente.

¿Qué tipo de escaneo analiza ficheros solo cuando el usuario lo solicita?. A) Realtime. B) On-Demand. C) Proactivo. D) Heurístico.

¿Qué técnica analiza las acciones de un programa para detectar malware?. A) Detección por firmas. B) Análisis por comportamiento. C) Obfuscación. D) AppArmor.

¿Qué problema tiene la detección heurística?. A) No detecta malware antiguo. B) Genera más falsos positivos. C) Solo funciona en Linux. D) Necesita modo kernel.

¿Qué es el "threat hunting"?. A) Escaneo automático del sistema. B) Búsqueda manual proactiva de amenazas ocultas. C) Uso de sandbox. D) Ejecución de exploits.

¿Qué permite el sistema Secure Boot?. A) Evitar que el sistema se actualice. B) Cargar Linux en modo seguro. C) Verificar la integridad de cada fase del arranque. D) Borrar el MBR automáticamente.

¿Qué técnica detecta posibles cadenas ROP mediante contadores de hardware?. A) PIE. B)RELRO. C)DEP. D) HPC (Hardware Performance Counters).

¿Qué característica distingue a los stack cookies tipo terminador?. A) Están cifrados. B) Son iguales en todas las ejecuciones. C) Contienen bytes como \0 para evitar copias completas. D) Se almacenan en disco.

¿Qué compilador activa stack cookies de forma predeterminada en funciones vulnerables?. A) Clang. B) GCC. C) Visual Studio. D) NASM.

¿Cuál de estas técnicas añade comprobaciones extra a funciones peligrosas como strcpy?. A) DEP. B) Código fortificado. C) SMEP. D) CFI.

¿Qué característica define un enclave de Intel SGX?. A) Se ejecuta en modo kernel. B) Está firmada digitalmente. C) Es una región cifrada y aislada del resto del sistema. D) Se almacena en caché.

¿Qué permite la opción -z execstack en GCC?. A) Forzar PIE. B) Desactivar DEP en la pila. C) Activar ASLR. D) Añadir stack cookies.

¿Qué archivo en Linux permite ver el valor del canario de pila?. A) /proc/canary. B) /etc/ld.so.conf. C) /proc/self/maps. D) Se accede a través del registro %fs al TLS del hilo actual.

¿Qué alternativa moderna a SELinux se utiliza para perfilar binarios en Linux?. A) Secure Boot. B) RELRO. C) AppArmor. D) Threat Hunting.

¿Qué sistema permite verificar remotamente que un enclave SGX es legítimo?. A) Shadow Stack. B) CFI. C) Attestation. D) TPM.

¿Qué iniciativa proporciona firma digital gratuita para software Linux?. A) Authenticode. B) TPM. C) Sigstore. D) Let’s Sign.

¿Qué sistema almacena claves y realiza verificaciones durante el arranque seguro?. A) CET. B) TPM (Trusted Platform Module). C) SMEP. D) PIE.

¿Qué elemento es una pequeña aplicación que verifica firmas antes de arrancar GRUB?. A) TPM. B) CFI. C) Shim. D) StackGuard.

¿Qué es el MOK en el arranque seguro de Linux?. A) Kernel modificado. B) Base de datos de certificados autorizados gestionada por el usuario. C) Herramienta de análisis. D) Firmador automático.

¿Qué tipo de detección antivirus analiza el código sin ejecutarlo?. A) Heurística. B) Detección por firmas. C) Comportamiento. D) Machine Learning.

¿Qué técnica usa aprendizaje automático para detectar malware?. A) Fortify. B) RELRO. C) Machine Learning. D) DEP.

¿Qué diferencia a EDR frente a los antivirus tradicionales?. A) Usa solo firmas. B) No funciona en tiempo real. C) Monitoriza todo el endpoint en tiempo real y automatiza respuestas. D) Solo analiza correos.

¿Qué tipo de escaneo requiere que el usuario lo ejecute manualmente?. A) On-Access. B) Heurístico. C) On-Demand. D) Proactivo.

¿Qué función tiene un sistema SIEM cuando se integra con EDR?. A) Instalar parches. B) Correlacionar y centralizar eventos de seguridad. C) Reforzar firewalls. D) Compilar código.

¿Qué hace la reversión automática en EDR?. A) Elimina backups. B) Revierte los cambios realizados por malware conocido. C) Cambia claves de registro. D) Reinicia el sistema.

¿Qué hace un analista durante una sesión de threat hunting?. A) Ejecuta escaneos automáticos. B) Apaga servidores. C) Revisa manualmente eventos, logs y procesos en busca de amenazas ocultas. D) Recompila binarios.