en relación con ntfs cual es verdadera el slack space puede ser de 3 tipos. ramslack, fileslack y drive slack el drive slack no existe en los discos ssd el slack space es el espacio libre que no está asignado a ninguna particion, volumen o unidad local el espacio entre el final del contenido del fichero y el final de clater asignado a el se conoce como unlocate space.
cual de las siguientes herramientas permite hacer una adquisicion en caliente autopsy volatility brimor labs redclose.
en relacion a ntfs ¿cual es verdadera? los ficheros de metadatos se consideran artefactos vitales en el analisis forense, están en el directorio raiz y su nombre empieza por $ $ftp se almacena en un fichero binario y neesita un parse para extraer los datos al formatear una particion se crea un fichero ftp y un fichero con metadatos todas son correctas.
¿cual de las siguientes herramientas no permite realizar una adquisicion en caliente? os forensics brimor labs wintriage slowkin.
¿que afirmacion es falsa con respecto al registro de windows? la base de datos se genera durante la ejecucion del sistema siendo almacenada en un conjunto de ficheros cuando este se apaga los ficheros maquina de registro se encuentran en la ruta system32/config y se llaman hides la informacion del registro se almacena en texto plano y se puede visualizar sin necesidad de herramientas los ficheros donde se almacena la informacion para implementar la base de datos son de 2 tipos de maquina y de usuario.
¿que afirmacion en falsa con respecto a las etiquetas de tiempo de ntfs? la ntc registra los conjuntos de timestamp o marcas de tiempo una manipulable atributo $stpinfo y otro por el sistema atributo $filename en ntfs hay 3 marcas de tiempo en ntfs hay 4 marcas de tiempo. notificacion, acceso, cambio y fecha de creacion mediante la tecnica de timestamp una aplicacion antiforense puede eliminar por completo todas las marcas de tiempo del atributo $filename, una tecnica muy usada por malware.
cual de las siguientes herramientas nos permite generar un informe forense os forensics ftkimager live volatility.
la herramienta databasewiew de nirftsoft solo nos permite analizar el historial de internet explorer y edge solo nos permite analaizar el historial de firefox solo nos permite analizar el historial de chrome permiter mostrar y exportar bases de datos en formato .exe .
cual es verdarera en relacion con ntfs un flujo de datos alternativo (ads) es una caracteristica de los sistemas de ficheros fat y ntfs ads son los servicios de directorio cuando descargamos un fichero de internet lleva asociado un flujo de datos alternativo llamado folder.indetifier que indica la zona de donde se ha descargado el fichero para ver los ads es necesario descargar una herramienta de terceros.
cual es falsa en relacion a las jumplist es un artefacto que nos permite acceder facilmente a los ultimos documentos o conexiones abiertas una de las herramientas que nos facilita su gestion es jle de eric zibermman es un artefacto que aparece por primera vez en windows vista es un artefacto que nos permite acceder facilmente a los log del sistema.
que afirmacion es verdadera en relacion a la papelera de windows en los sistemas de ficheros ntfs los archivos borrados por cada usuario se guardan en una subcarpeta dentro de la papelera que la identifica con el suid de cada usuario a partir de windows vista cada fichero borrado pasa a llamarse $r#.exe donde # es una secuencia aleatoria todas son correctas la papelera de reciclaje se almacena en c/:reciclebin desde windows vista.
las subcarpetas local, local low donde muchas aplicaciones nos dejaran sus datos especificos relativos al usuario como son cookies, bbdd, contraseñas... estan dentro de la carpeta %userprofile%appdata %windir% C:/profiles %appdata%.
que afirmacion es falsa en relacion al registro de windows los ficheros de maquina del registro se encuentran en %windir% system32/config y se llaman hides los ficheros de registro en la ruta /users/users_usuario en la clave del registro user asis windows registra el numero de veces que una aplicacion se ejecutado podemos analizar los diferentes ficheros del registro con la aplicacion regedit.
al escribir datos en un fichero a veces hay sectores restantes del ultimo claster en los que no se escribe nada. este area se conoce como driveslack unlocated space hideslack ramslack.
la persistencia es un metodo empleado por las aplicaciones para permanecer en el sistema el mayor tiempo posible que herramienta me permite acceder a estos servicios autoruns(sisinternals) netcat regedit schtacks.
que afirmacion es falsa en relacion a ntfs nftdan.exe es un analizador muy utilizado para extraer la informacion de $fct podemos copiar $fct y otros ficheros de metadatos mediante la herramienta nftdan en el borrado de ficheros se marca en la fct la marca como borrado y se identifican los calster como disponibles podemos importar o exportar la $fct desde una imagen forense con ftkimager o podemos usar rawcopy.
que afirmacion es verdadera en relacion con los fitch es una funcionalidad de windows para repartir la cargar tanto del sistema como de las aplicaicones y que surgió a partir de windows xp todas son correctas para poder abrir los ficheros binarios de pfich necesitamos aplicaciones de terceros para su analisis como por ejemplo nirsoft windows cache manager registra durante los 10 primeros segundos tras la ejecucion de una aplicacion ademas registra el numero de veces que se ejecuta.
que afirmacion es falsa con respecto a los artefactos no hay que confundir artefacto con las evidencias de la actividad del usuario,rastros o huellas los artefactos son los elementos de windows que dejan rastro de la actividad del usuario los artefactos son cruciales para el perito informatico ya que aportan mucha informacion en los analisis forenses los artefactos tambien se conocen como rastros o huellas.
que afirmacion es verdadera en relacion a los navegadores todas son correctas sisinternals incluye varias herramientas para el analisis de la informacion de los navegadores microsoft almacena toda la informacion de sus navegadores en una base de datos exe un formato habitual de base de datos para navegadores es sqlite.
|
