Técnicas de Análisis Forense_2405000

En el caso de informes de extracción de datos de un soporte, ¿cuál/es de los siguientes elementos puede/n omitirse en el informe? Señala la correcta. Hora de inicio de la extracción. Pin del dispositivo. Tipo de extracción realizada y por qué método. IMEI, dato identificativo del terminal objeto de estudio.

Los metadatos son fundamentales en el análisis forense informático por varias razones. Señala cuál no es una de ellas: Mantener integridad de la evidencia. Fundamental en la cadena de custodia. Conocimiento del contexto de los archivos. Realización del proceso de firma.

¿Cuál/es de los siguientes elementos constituye/n un/os elemento/s básico/s para el trabajo del perito? Señala la correcta. Sistemas portables. Base de datos. Sistema de comunicación. Sistema web.

¿Qué es o qué son los metadatos? Selecciona la opción correcta: Un espacio virtual que contiene información personal de los usuarios y al que se puede acceder mediante sistemas de realidad virtual. Un tipo de fichero específico de los sistemas operativos Linux que permite acceder a través de una ruta concreta a un fichero que realmente se encuentra en una ruta diferente de forma transparente al usuario. Un conjunto de datos que almacenan información sobre los propios datos, como permisos, hardware de creación, versión, etc. Un tipo de paquete transmitido a través de la red interna de una organización que ha sido deliberadamente conformado para que pueda romperse el cifrado ssl que lo protege.

De la siguiente lista de directorios de un sistema operativo Linux, ¿cuál está destinado a contener archivos de configuración local del sistema? Señala la correcta. /bin. /etc. /sbin. /var.

¿Cuál de las siguientes características corresponde a Wireshark?. Es una herramienta privativa diseñada exclusivamente para sistemas Unix y basada en el uso de una interfaz gráfica. Utiliza librerías específicas como PCAP para capturar tráfico de red y puede reconstruir sesiones TCP para un análisis más detallado. Solo permite capturar tráfico destinado específicamente al dispositivo local, independientemente de la configuración de la interfaz de red. No admite la lectura de archivos de captura de otros productos, ya que utiliza un formato propietario exclusivo.

Con respecto a los apartados del informe pericial, señala el orden correcto: Fases: objeto, alcance, antecedentes, consideraciones preliminares, documentos de referencia, terminología/abreviaturas, análisis y conclusiones. Fases: alcance, antecedentes, objeto, consideraciones preliminares, documentos de referencia, terminología/abreviaturas, análisis y conclusiones. Fases: alcance, objeto, antecedentes, consideraciones preliminares, documentos de referencia, terminología/abreviaturas, análisis y conclusiones. Fases: consideraciones preliminares, alcance, objeto, antecedentes, documentos de referencia, terminología/abreviaturas, análisis y conclusiones.

¿Qué valor no sería correcto para una cabecera content-transfering-encoding de un correo electrónico?. base64. 7bit. 8bit. Todas las opciones anteriores son incorrectas.

¿En qué consiste la técnica JTAG? Señala la correcta. Enfoque utilizado en la industria electrónica para conectar un dispositivo electrónico, como un microcontrolador o un procesador, directamente a través de una interfaz de depuración. Se refiere a una técnica de extracción de datos utilizada en el campo de la recuperación de datos de dispositivos móviles, en particular, en teléfonos móviles y tabletas. Esta técnica se emplea cuando un dispositivo móvil está dañado o bloqueado, y no se puede acceder a su contenido mediante los métodos de acceso estándar, como el desbloqueo o la extracción de datos a través de la interfaz del dispositivo. Ninguna de las opciones anteriores es correcta.

Con respecto al proceso de obtención de copias con base en el soporte original, indica la afirmación correcta: Si se realizan dos o más copias del soporte original, podrá realizarse un proceso de cadena de custodia abreviado, ya que siempre podrá realizarse la comprobación de la integridad contra alguna de las otras copias. Se deben realizar al menos dos copias del soporte, cuyo hash debe ser idéntico al del soporte original y entre sí. Los sistemas de clonado por software no deben utilizarse nunca, bajo ningún concepto. El establecimiento de la cadena de custodia solo es necesario en el caso de peritos que formen parte de algún cuerpo de policía, no siendo necesario en el caso de investigadores civiles.

Selecciona de entre los siguientes, cuál podría ser el resultado de una función hash tipo SHA512 (Señala la correcta): 50a7c1e01a3a25b86131098ea7722b4594c853def5fe888bcc7841b073f1ad40ac04180b3 50a0fc153af23522225. 222528423b181d37ede96ec7dc6306cd692d26fb. a00ef6a71cb41ee851871ea28d0e3ac8ecf2b52de5edc486b53792d583b28382ce960ea3f b1d226241c0ed8cd96571d9f1b938c2b3c4d34bd19476bb14371775. 222528423b181d37ede96ec7dc6306cd692d26fbd37ede96ec7dc6306cd692d26fb.

El tamaño del hash, utilizado en la obtención de las evidencias digitales, se puede decir que: (Señala la correcta). Depende del tamaño de la entrada. Depende del usuario que lo utiliza. Depende del formato utilizado. Ninguna de las opciones anteriores es correcta.

En el proceso de peritaje informático forense, existen varios pasos clave, como pudiera ser el de exámenes especializados donde se pudiera encontrar el proceso de (Señala la correcta): Análisis de metadatos. Análisis de huellas digitales. Ingeniería inversa. Análisis de archivos.

Respecto de las clonadoras, señala la incorrecta: También llamadas duplicadores forenses. Se presentan en diferentes interfaces de entrada y salida (IDE, SATA, USB...). Solo pueden realizar una clonación en cada momento, centrándose en la integridad del proceso. Su objetivo primordial es la obtención in situ de evidencias, comprobando, entre otras cosas, la disponibilidad de la copia forense a través del cálculo de la función resumen de la evidencia original y la copia obtenida.

De entre las siguientes, indica la funcionalidad que está soportada por Snort (Señala la correcta): Modo NIPS. Modo packet logger. Modo multidifusión. Ninguna de las opciones anteriores es correcta.

La arquitectura de SPLUNK consta de los siguientes elementos principales. Señala la opción incorrecta: Un elemento de comunicación que permite corregir posibles desviaciones y errores entre los distintos componentes del sistema. Un indexador que recibe los datos de diversas fuentes y los almacena en una base de datos interna para su posterior consulta y análisis. Un componente inicial de búsqueda que filtra la información necesaria antes de enviarla al indexador para su almacenamiento, reduciendo la carga de procesamiento. Una consola de análisis que permite visualizar los resultados, crear gráficos interactivos y realizar búsquedas avanzadas sobre los datos indexados.

Respecto del fichero /.bash_history, señala la correcta: Ubicado en el directorio del usuario root, contiene información del historial de comandos bash. Ubicado en el directorio home del usuario, contiene información del historial de comandos bash. Ubicado en el directorio del usuario root, contiene información de historial del perfil correspondiente. Ubicado en el directorio home del usuario, contiene información del perfil del usuario correspondiente.

En la RFC 3227, se definen una serie de principios para la recogida de evidencias, señala la incorrecta: El orden de volatilidad de los datos. Las acciones que se han de evitar. El orden de prioridad de los datos asociados a los dispositivos. Los aspectos sobre privacidad que se deben tener en cuenta.

¿Qué método de extracción de información de soportes permite la extracción de los datos al objeto de recuperar información eliminada?. Extracción lógica. Extracción desde el sistema de archivos. Extracción física. Extracción desde la consola remota.

¿Dónde se realiza el proceso de investigación? Señala la correcta: Fase de análisis. Fase de identificación. Fase de preservación. Fase de documentación y presentación de resultados.

Las pautas que guían el proceso de selección, obtención, presentación y almacenamiento de las evidencias digitales se establecen siguiendo los siguientes principios, señala la incorrecta: Relevancia. Priorización. Suficiencia. Oportunidad.

El Código Penal español establece diversas modalidades y acciones ilícitas como delitos en el contexto de las nuevas tecnologías, el que incluye la permanencia en sistemas informáticos vulnerando las medidas de seguridad y la intercepción de datos informáticos corresponde a (Señala la correcta): Acceso ilícito a sistemas informáticos. Descubrimiento y revelación de secretos. Daños informáticos. Falsedades informáticas.

¿Cuál no es una capa de la arquitectura MAC?. COCOA. Media. Núcleo de los servicios. Controladores de software.

¿En qué momento del proceso de adquisición debe obtenerse el hash del original y de las copias? Señala la correcta. No es obligatorio obtener el hash, la preservación de la cadena de custodia lo hace innecesario. Idealmente durante el propio proceso de copia mediante el sistema de clonación software utilizado, pero de no ser posible, inmediatamente después de finalizar el proceso de copia con una herramienta hardware. Idealmente durante el propio proceso de copia mediante el sistema de clonación hardware utilizado, pero de no ser posible, inmediatamente después de finalizar el proceso de copia con una herramienta software. Durante el proceso de elaboración del informe, con el fin de identificar las copias utilizadas durante el proceso.

¿A qué protocolo hay que recurrir para descargar los correos electrónicos desde el servidor de correo a la computadora del usuario y eliminar las copias del servidor?. POP3. IMAP. SSL. WAX.

Respecto de los puntos principales de los que debe disponer un informe o dictamen pericial, respecto del alcance (Señala la correcta): Es donde se indicará el objeto pericial; es decir, qué se solicita al perito, la finalidad del informe. Este objeto debe ser especificado por el solicitante. Deberá plantear las cuestiones esbozadas por el solicitante. Determinará el ámbito de nuestra actuación. Es donde se indicarán todos los detalles y los datos de relevancia que indiquen una trazabilidad del objeto de análisis y la metodología empleada (criterios y técnicas utilizados para garantizar la repetibilidad de la prueba). Es donde se recogerán el conjunto de disposiciones normativas, las normas de no obligado cumplimiento, la buena práctica profesional y la bibliografía que se ha tenido en cuenta o que se ha citado.

Dentro del JTAG, una vez que se establece la conexión a través de los pines de prueba, se puede acceder al chip o a la memoria del dispositivo. Esto permite realizar una serie de tareas, como (señala la incorrecta): Depuración del hardware. Programación del firmware. Pruebas de continuidad y diagnóstico. Análisis del microprocesador.

Las ACL son propias de (señala la correcta): FAT16. FAT32. NTFS. Ninguna de las opciones anteriores es correcta.

29. ¿Cuál es la norma que corresponde a los requisitos generales para la competencia de los laboratorios de ensayo y calibración?. ISO-IEC 17025. ISO-IEC 17020. RFC 3227. ISO 27001.

¿Cuál de los siguientes métodos de extracción de información no se considera como una técnica invasiva?. Análisis de archivos de forma pasiva. Encendido del dispositivo para la realización de lectura con un usuario del propio sistema. Extracción mediante JTAG. Extracción mediante chip-off.