Técnicas de Análisis Forense_30782

Señala la afirmación incorrecta: En la fase de preservación se deberá establecer la cadena de custodia. Al realizar copias de la evidencia digital, debe aplicarse una función hash sobre la información copiada. Al realizar copias de la evidencia digital, debe ser prioritario el clonado por software. Al realizar copias de la evidencia digital, estas deben ser idénticas y sin ninguna alteración del origen ni del destino.

Respecto al sistema de archivos NTFS: Presenta ventajas como la gestión de las listas de control de acceso (ACL), la compresión y otras mejoras con respecto al sistema FAT. Cada entrada en la MFT es de 2040 bytes, comienza con la cadena ASCII «FILE» y consta de uno o más atributos, cada uno con su propio identificador y estructura. Los primeros 64 bytes de cada entrada a la tabla incluyen una estructura de cabecera con 10 elementos, y los bytes restantes dependen de los valores de la cabecera y otros atributos de la entrada. Cuando un archivo NTFS es borrado, los datos del archivo se alteran.

Señala la afirmación incorrecta: Las interfaces gráficas se dividen en distintas capas, permitiendo que el sistema pueda adaptarse en mayor medida al usuario, pero también provoca que resulte más complejo el desarrollo de aplicaciones compatibles. Las interfaces gráficas se dividen en distintas capas, permitiendo que el sistema pueda adaptarse en mayor medida al usuario, resultando más sencillo el desarrollo de aplicaciones compatibles. Todo en Linux es un archivo, lo que implica que el núcleo del sistema operativo interprete todo dispositivo conectado como un archivo, favoreciendo la independencia entre ellos y la estabilidad del sistema. Linux dispone de diferentes sistemas de archivos (ext2, ext3, ext4, ReiserFS, JFS, XFS...). El más común es ext3 (compatible de forma retroactiva), aunque se encuentran en continua evolución, con nuevos sistemas como ReiserFS, más rápidos y con mayor escalabilidad.

La informática forense persigue cumplir distintos fines. El fin correctivo pretende: Determinar a través de las evidencias electrónicas el origen, el impacto, los causantes... y aporta, para ello, una prueba con validez legal que pueda ser presentada ante un juzgado. Localizar incidencias o deficiencias. Utilizar herramientas para verificar y auditar que los sistemas cumplen con los estándares de seguridad definidos, permitiendo evaluar con ello carencias, detectar vulnerabilidades de seguridad y definir planes de contingencia para solventarlas. Verificar de forma periódica que los sistemas de información cumplen con los requisitos establecidos y que la operativa llevada a cabo respeta las normas establecidas con respecto a esos sistemas.

Aunque no existe un único procedimiento, ni herramientas estándares definidas que sirvan a efectos judiciales, existen una serie de fases que se han de contemplar dentro de toda investigación forense. En la fase de identificación: Aseguraremos la escena. Realizaremos copias de respaldo. Analizaremos los sistemas con el fin de obtener las evidencias necesarias. Ninguna de las anteriores es correcta.

Señala la respuesta correcta: La memoria estática de acceso aleatorio (static random access memory) es una memoria muy rápida que no necesita refrescar los datos (se incorpora a los microprocesadores y discos duros). La memoria dinámica de paginación de acceso aleatorio es una memoria muy rápida que no necesita refrescar los datos (se incorpora a los microprocesadores y discos duros). La memoria dinámica de acceso aleatorio para tecnología Rambus es una memoria muy rápida que no necesita refrescar los datos (se incorpora a los microprocesadores y discos duros). La memoria de acceso aleatorio con salida de datos extendida es una memoria muy rápida que no necesita refrescar los datos (se incorpora a los microprocesadores y discos duros).

La norma UNE 19700: Establece una metodología para la preservación, adquisición, documentación, análisis y presentación de las evidencias electrónicas. Se dirige especialmente a incidentes y aspectos de seguridad, así como al personal técnico que trabaja en laboratorios o entornos de análisis forense de evidencias electrónicas. Recopila una serie de criterios generales para la elaboración de informes periciales sin determinar los métodos y procesos específicos para la elaboración de los mismos. Ninguna de las anteriores es correcta.

La rama HKEY_CURRENT_USER: Almacena la información acerca de la configuración general del equipo. Almacena la configuración de los usuarios del equipo, incluyendo las claves de los usuarios conectados. Almacena los archivos registrados, sus extensiones y los programas asociados. Almacena la configuración del usuario actual conectado al equipo, y los cambios solo impactan en dicha cuenta.

/var/mail es un tipo de archivo: Estático. Dinámico. Compartido. Restringido.

Señala la afirmación incorrecta: Ext4 ofrece un sistema de archivos con un diseño mejorado, mejores características y con mucho más rendimiento y confiabilidad que las anteriores versiones. Sin embargo, es incompatible con el sistema de archivos Ext3. El sistema de archivos Ext3 ofrece, entre otras ventajas, una mejora sustancial con respecto a la disponibilidad, integridad y velocidad del sistema. Además, presenta mejoras respecto a las migraciones e incrementa el rendimiento mediante la indexación basada en árboles. El sistema de archivos Ext2 consta de un superbloque de 1024 bytes que contiene información y metadatos del propio sistema de ficheros, un backup de este superbloque, una tabla de estructura para cada grupo de bloques, un mapa de bits también para cada bloque y otro mapa de bits de i-nodos. Ext4 ofrece un sistema de archivos con un diseño mejorado y mejores características, si bien empeora su rendimiento y confiabilidad respecto a las anteriores versiones.

El mecanismo de los bundles es una de las características integrales del software de distribución del sistema operativo. De las siguientes afirmaciones, selecciona la falsa en relación con el bundle: Puede configurarse utilizando un archivo de lista de propiedades Info.plist. Encapsula recursos en una estructura de archivos jerárquica, y la presenta al usuario como una entidad única. Más común es el paquete de aplicaciones, utilizado para almacenar la aplicación como un autocontenedor, haciendo triviales sus dependencias en el proceso de instalación para el usuario final. Se encarga de revisar cuándo la RAM estaba o no disponible.

La parte más importante de un correo electrónico en un análisis forense es: El asunto. El cuerpo del correo electrónico. El encabezado. Ninguna es correcta.

En los dispositivos iOS, la capa núcleo del sistema: Contiene servicios fundamentales del sistema para aplicaciones. Entre estos servicios destacan los servicios «Core Foundation» y «Foundation frameworks», que definen los tipos básicos que utilizan todas las aplicaciones. Incluye el núcleo, los controladores y las interfaces de bajo nivel del sistema operativo, interactuando directamente con el hardware del sistema. Contiene las tecnologías gráficas, de audio y de vídeo. Provee la infraestructura básica para desarrollar las aplicaciones iOS.

La arquitectura del sistema Mac OS X es modular, lo que le dota de mayor flexibilidad. La capa multimedia: Permite la integración de los gráficos, animaciones, efectos de imagen, audios y vídeos dentro de las aplicaciones. Ofrece los servicios básicos para las aplicaciones, aunque no mantiene relación directa con la interfaz de usuario de la aplicación. Proporciona los servicios (a bajo nivel) en relación con el hardware y las redes de comunicación. Implementa el nivel más bajo, incluyendo el kernel, los controladores, las partes BSD del sistema y varias tecnologías de infraestructura básica que facilitan el desarrollo del software.

SQLite: Es la base de datos relacional que utilizan las aplicaciones en iOS (y también el propio sistema). Está contenida en una librería C que está embebida en la aplicación que desea utilizarla, sin ser un servicio independiente que se ejecuta en segundo plano, sino que se ejecuta como parte de la aplicación. No es tan potente como otros gestores de base de datos, sin embargo, posee unas características que hacen que aporte gran valor al sistema. Todas son correctas.

Selecciona la opción incorrecta: El direccionamiento de correo electrónico utiliza dominios. Un dominio es una estructura de directorios de nombres de direcciones de red. Cada dominio puede tener un único subdominio. En muchos de los análisis forenses, la dirección IP juega un papel fundamental. Una dirección IP es una etiqueta numérica que identifica a una interfaz o elemento de conexión, conocido como tarjeta de red (normalmente, perteneciente a un ordenador, aunque también podría pertenecer a otros dispositivos dentro de una red que utilice el protocolo IP). El correo electrónico es un medio de comunicación protegido por el derecho al secreto en las comunicaciones. Durante una actuación pericial, únicamente siendo amparados por un mandato judicial (a no ser que el propio titular dé su consentimiento expreso), se permite llevar a cabo la investigación, solicitando, si fuera necesario, los datos relevantes a la empresa proveedora del dominio del correo electrónico para poder ser presentados formalmente. A la hora de investigar la procedencia de algún correo, y la hora en cuestión, cabe mencionar la necesidad de contrastar la hora local correcta.

Selecciona la opción correcta: Las rutas dinámicas son definidas manualmente por el administrador para que el router aprenda sobre una red remota. Estas rutas requieren pocos recursos del sistema, pero es recomendable utilizarlas solo cuando la red está compuesta por pocos routers, o bien cuando dicha red se conecte a Internet solamente a través de un único ISP. Dentro del enrutamiento dinámico, el adaptativo distribuido se caracteriza por que el algoritmo correspondiente se ejecuta por igual en todos los nodos de la subred. Cada nodo recalcula continuamente la tabla de enrutamiento a partir de dicha información y de la que contiene en su propia base de datos. Dentro del enrutamiento dinámico, el adaptativo aislado se caracteriza por que el algoritmo correspondiente se ejecuta por igual en todos los nodos de la subred. Cada nodo recalcula continuamente la tabla de enrutamiento a partir de dicha información y de la que contiene en su propia base de datos. Dentro del enrutamiento dinámico, el adaptativo centralizado se caracteriza por que el algoritmo correspondiente se ejecuta por igual en todos los nodos de la subred. Cada nodo recalcula continuamente la tabla de enrutamiento a partir de dicha información y de la que contiene en su propia base de datos.

NetWitness Investigator: Examina las aplicaciones y cambios en el contenido de la red, así como paquetes de fuera de ella. Está diseñado para ayudar a los usuarios a identificar problemas de ciberseguridad, ataques con información privilegiada y sofisticados ataques externos, y puede ayudar con las auditorías de TI y las investigaciones antifraude. Es una herramienta para el análisis forense de equipos, descifrado de contraseña y de información, todo ello en una interfaz intuitiva y personalizable. Permite el análisis de correo electrónico y vistas personalizables de datos. Es una herramienta que sirve como detector de intrusos y permite la captura de paquetes y su análisis. Es el motor para los datos y logs que generan los dispositivos, puestos y servidores. Es un software para buscar, monitorizar y analizar datos generados por máquinas (big data) de aplicaciones, sistemas e infraestructura IT.

¿Qué es una herramienta open source?. Una herramienta abierta al público en general. Una herramienta de uso restringido. Un modelo de desarrollo de software basado en la colaboración abierta. Ninguna es correcta.

Una clonadora es: Un disco de arranque. Un DVD doble. Un hub que duplica entrada. Ninguna es correcta.

Caine es: El hermano de Abel. Una herramienta forense basada en Linux. Una distribución forense de Windows. Ninguna es correcta.

SIFT es: SANS Investigative Forensic Toolkit. SANS Integral Forensic Toolkit. SIFT Forensic Toolkit. SYSTEM Forensic Toolkit.

¿Cuál de estos nombres no es una herramienta forense?. Caine. Dumbi. SIFT. OsForensic.

El software de extracción forense para dispositivos móviles más usado es: UFED. Movilxtractor. Mobileout. Kardasimob.

Un sistema IOS es: Un smartphone basado en Android. Un dispositivo de almacenamiento masivo de Apple. Un sistema operativo de Android. Ninguna es correcta.

¿Se puede realizar una extracción de datos de WhatsApp de un iphone X?. No, porque está encriptado punto a punto. No, porque no tiene acceso al kernel. Sí, mediante extracción del sistema de archivos vía UFED. Solo mediante una extracción JTAG.

¿Qué es ADB?. Un sistema de extracción forense de dispositivos móviles. Un sistema operativo basado en Linux. Una herramienta de uso forense en Windows. Una herramienta de uso forense en Linux.

¿Un correo electrónico lleva en alguna de sus partes la IP del emisor?. Sí, en la cabecera oculta. Sí, en el hash. No, eso solo lo sabe el ISP. Sí, se encuentra en el cuerpo del correo electrónico.

Indica cuál de estas afirmaciones es correcta: Pop3 es un grupo musical. Pop3 es un sistema de archivos. Pop3 está en desuso progresivo y lo sustituye PooP. Pop3 es Post Office Protocol.

UFED physical analyzer es: Un software forense de análisis de correos electrónicos. Un software forense de recuperación de información en discos duros. Un software de cálculo de algoritmos hash para análisis de correos electrónicos. Ninguna es correcta.