TEMA 5 real

La Recolección de información se lleva a cabo para analizar: El impacto potencial en las actividades del organismo. Es la mejor manera de verificar la conexión entre dos equipos de la red. Es la única manera de verificar la conexión entre dos equipos de la red. Q.

Actúa como un daemon o servicio estándar en el sistema de un host. H-IDS. H-DSI. DSI-H. H-SID.

Métodos de recolección de información: Indagación a los administradores de sistemas, Personal del organismo, Revisión de reportes de herramientas de detección de intrusiones. Obtener datos sobre sucesos normales en los sistemas. No se utiliza nunca. Es la mejor manera de verificar la conexión entre dos equipos de la red.

Es necesario un Órgano de Control: Que siempre tendrá la responsabilidad de informar y gestionar acerca de los intentos de intrusión o infecciones. Que nunca tendrá la responsabilidad de informar y gestionar acerca de los intentos de intrusión o infecciones. Que dependiendo del incidente tendrá la responsabilidad de informar y gestionar acerca de los intentos de intrusión o infecciones. No se utiliza nunca.

¿Cuáles de los siguientes son errores comunes al formular un DRP?: Ausencia de liderazgo, pérdida de controles de seguridad y pérdida de apoyo del negocio. Que siempre tendrá la responsabilidad de informar y gestionar acerca de los intentos de intrusión o infecciones. Que nunca tendrá la responsabilidad de informar y gestionar acerca de los intentos de intrusión o infecciones. Que dependiendo del incidente tendrá la responsabilidad de informar y gestionar acerca de los intentos de intrusión o infecciones.

¿Para qué sirve el análisis forense?. Para garantizar la efectividad de las políticas de seguridad y la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información. Una de las partes menos importantes dentro de la planeación de la auditoría. No tiene uso. Que nunca tendrá la responsabilidad de informar y gestionar acerca de los intentos de intrusión o infecciones.

Existirá una cadena de custodia: Debidamente asegurada que demuestre que los medios no han sido modificados durante la pericia. Poco asegurada que demuestre que los medios no han sido modificados durante la pericia. Final que demuestre que los medios no han sido modificados durante la pericia. Obtener datos sobre sucesos normales en los sistemas.

El nivel que tiene como función el aseguramiento de la transmisión de la cadena de bits de información entre dos sistemas es el…. Segundo nivel. Primer nivel. Tercer nivel. Cuarto nivel.

¿En qué nivel la información se recoge y almacena en función de un nombre, que se adjudica a cada archivo?. Nivel 6. Nivel 5. Nivel 4. Nivel 3.

El programa _____________________ permite montar imágenes de discos, cuyo atributo principal es que serán imágenes de sólo lectura. P2 Explorer. HxD. Scapel. Q.

¿Qué es el impacto operacional?. Qué implica en el sistema y en la organización llevar a cabo los controles establecidos como respuesta a mitigar el riesgo. Evaluar qué tan viable resulta introducir las opciones que se han recomendado. Demostrar que los costos de implementación de esos controles pueden ser justificado por la reducción del nivel del riesgo. Que siempre tendrá la responsabilidad de informar y gestionar acerca de los intentos de intrusión o infecciones.

Es esencialmente un balance entre recursos (redes, capacidad de procesador, equipo, acceso a las aplicaciones) y la necesidad de datos actualizados: Estrategia de respaldo de datos. Respaldo de datos. Lugar de almacenamiento de los datos de respaldo. Q.

¿Para qué sirve el análisis posmortem?. Para garantizar la efectividad de las políticas de seguridad y la protección tanto de la información como de las tecnologías que facilitan la gestión de esa información. Consiste en la investigación de los sistemas de información con el fin de detectar evidencias de la vulneración de los sistemas. Para una solución favorable una vez que la vulneración y las infracciones ya se han producido. Lugar de almacenamiento de los datos de respaldo.

¿Qué función tiene el análisis forense de datos?. Engloba el análisis de diferentes redes; cableadas, wireless, bluetooth, etc. En este análisis se tratarán los incidentes de seguridad acaecidos en servidores y estaciones de trabajo con diferentes sistemas operativos. Se analizarán los incidentes acaecidos en móviles, PDA, etc. Para una solución favorable una vez que la vulneración y las infracciones ya se han producido.

Son un conjunto de eventos que se almacenan en los dispositivos donde son generados, y contienen información acerca de los sucesos que ocurren en el dispositivo. Los logs. P2 Explorer. HxD. Scapel.

¿Qué es Volatility?. Se trata de un framework formado por un conjunto de herramientas que permiten extraer pruebas de muestras de memoria RAM. Se trata de nuevo de una herramienta que nos permite crear una imagen de la memoria, creando una replica de la misma y permitiendo una visualización previa de los datos, lo que resulta de utilidad para evaluar si la evidencia nos será o no de utilidad como prueba de análisis forense. Se trata de una herramienta que nos permite hacer un volcado de la memoria RAM. Engloba el análisis de diferentes redes; cableadas, wireless, bluetooth, etc.

¿Con qué nivel se corresponde la capa de enlace de datos?. El nivel 2. El nivel 3. Nivel 1. El nivel 4.

¿Qué es HELIX CD?. Se trata de un Live CD de respuesta ante incidentes, basado en una distribución Linux denominada Knoppix (que a su vez está basada en Debian). Se trata de un Live CD de respuesta ante incidentes, basado en una distribución Linux denominada Koppix (que a su vez está basada en Debian). Se trata de otro CD de arranque que ofrece un entorno para respuestas a incidentes y análisis forense. Se trata de una herramienta que nos permite hacer un volcado de la memoria RAM.

Son aquellas que se perderán al apagar el equipo (ejemplo: estado de la memoria, procesos en ejecución, conexiones de red, etc.): Evidencias volátiles. Evidencias no volátiles. Evidencias indirectas. Evidencias directas.

Son aquellos que combinan los generados por una persona y los logs: Registros híbridos que incluyen registros generados por ordenador como almacenados en los mismos. Registros no generados, son simplemente almacenados por o en computadores. Registros generados por computador. Registros generados por el cliente.

Se hace una revisión de la información previamente recolectada: Método cuantitativo. Método cualitativo. Método deductivo. Q.

En 1988 nace como parte de un proyecto del entonces Plan Nacional de I+D del Ministerio de Educación y Ciencia y en colaboración con Telefónica a través de la fundación Fundesco, con el objetivo de la Interconexión de los Recursos Informáticos de las universidades y centros de investigación: RedIRIS. CNPIC. IRIS-CERT. HxD.

Una de las estrategias más elegida es: La lógica difusa. La lógica directa. La lógica indirecta. Q.

Busca archivos ocultos en el Sistema Operativo: hfind. sfind. filestat. P2 Explorer.

Se define como el conjunto de acciones que se deben llevar a cabo sobre cualquier dispositivo de almacenamiento para recuperar la información borrada o a la que es imposible acceder de forma habitual: Recuperación de datos. Recopilación de datos. Reestructuración de datos. Recopilación de contenido.

Realiza particiones en ext2 y ext3, lo cual elimina por completo el nombre pero los metadatos y los punteros de los datos siguen estando intactos: Linux. Windows. NTFS. Firefox.

¿Qué es Scapel?. Es una herramienta de recuperación del sistema de archivos borrados y carpetas en Linux. Es una herramienta con gran aplicación en la informática forense. Es un programa que permite montar imágenes de discos. Es una herramiento de recopilación de contenido.

Permite buscar dentro de la imagen palabras clave, pueden ser archivos o cualquier otra referencia que se le pase como argumento: Búsqueda por palabra clave. Metadatos. Análisis de archivos. Recuperación de datos.

Cualquier dato que puede establecer que un crimen se ha ejecutado (commit) o puede proporcionar un enlace (link) entre un crimen y su víctima o un crimen y su autor: Evidencia digital. Evidencia informática. Evidencia sospechosa. Evidencia publicitaria.

En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar: Estudio preliminar. Análisis e investigación. Realización del informe. Búsqueda por palabra clave.

¿Cuándo fue fundado INCIBE?. En 2006. En 2007. En 2010. En 2008.

Los metadatos se definen como aquellos datos, muy estructurados, que hacen referencia a otros datos. Nivel 5. Nivel 7. Nivel 9. Q.

Son una nueva especie que ha saltado a la escena de la delincuencia informática recientemente: ScriptKiddies. Hackers. Profesionales. H-SID.

¿Cuál es causada por una acción o un evento en la escena del crimen?. Evidencia condicional. Evidencia transferida. Evidencia transitoria. Q.

Si algo crítico de un sistema de TI no está disponible para sus usuarios finales, la misión de la organización puede verse afectada, se trata de: Pérdida de disponibilidad. Pérdida de Integridad. Pérdida de la confidencialidad. Pérdida de transferencia.

Clasificación que debe permitir calcular el impacto del incidente: Severidad. Tipo. Detección. Integración.

Tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés estratégico para el país, es decir lo que se ha definido en puntos anteriores como Infraestructuras Críticas. CCN-CERT. H-IDS. HxD. Scapel.

El Instituto Nacional de Ciberseguridad, es un organismo dependiente del Ministerio de Industria, Energía y Turismo de España, con sede oficial en: León. Madrid. Vigo. Castilla la Mancha.

Funcionan de forma similar a los IDS de firmas donde el patrón a buscar es un escenario de alto nivel, formado por varios ataques secuenciales, en lugar de un evento aislado. Definición de escenarios de ataques completos. Especificación de prerrequisitos y consecuencias de los ataques. Similitud entre los atributos de las alertas o clustering. Pérdida de transferencia.

En esta línea existen varios trabajos como el de Templeton y Levitt, 2000, su propuesta necesita que se cumplan todas las precondiciones de un ataque para considerar sus consecuencias. Especificación de prerrequisitos y consecuencias de los ataques. Similitud entre los atributos de las alertas o clustering. Pérdida de transferencia. Definición de escenarios de ataques completos.

La idea es que las alertas agrupadas en el mismo grupo forman parte del mismo escenario. Similitud entre los atributos de las alertas o clustering. Pérdida de transferencia. Definición de escenarios de ataques completos. Especificación de prerrequisitos y consecuencias de los ataques.

Considera la información provista por los sistemas host, la red y sus servicios. Verificación pasiva de alertas. Verificación activa de alertas. Verificación horizontal de alertas. Verificación vertical de alertas.

Consiste en la búsqueda de pruebas adicionales del éxito de la amenaza en el sistema contra el que va dirigida. Verificación activa de alertas. Verificación horizontal de alertas. Verificación vertical de alertas. Q.

El Instituto Nacional de Ciberseguridad. INCIBE. CNPIC. RedIRIS. IRIS-CERT.

El centro Nacional para la Protección de las Infraestructuras Críticas. CNPIC. RedIRIS. IRIS-CERT. Q.

Nace como parte de un proyecto del entonces Plan Nacional de I+D del Ministerio de Educación y Ciencia y en colaboración con Telefónica a través de la fundación Fundesco. RedIRIS. IRIS-CERT. INCIBE. CNPIC.

Cumple las directrices de seguridad especificadas por la RFC 2350 y está acreditado a nivel internacional. IRIS-CERT. INCIBE. CNPIC. RedIRIS.

Se inaugura en Madrid un nuevo centro donde agrupar todas las unidades tecnológicas de la seguridad de España. CETSE. IRIS-CERT. INCIBE. CNPIC.

Dirigentes en los distintos niveles. Directores. Administradores de redes. Administradores de sistemas. Especialistas de seguridad informática.

Jefes y especialistas informáticos. Administradores de redes. Directores. Jefes de departamento. Jefes de áreas.

Se identifican los servicios afectados por el incidente. Categorización. Establecimiento del nivel de prioridad. Asignación de recursos. Monitorización del estado y tiempo de respuesta esperado.

Dependiendo del impacto y la urgencia se determina, según criterios preestablecidos, un nivel de prioridad. Establecimiento del nivel de prioridad. Asignación de recursos. Monitorización del estado y tiempo de respuesta esperado. Categorización.

Si el Centro de Servicios no puede resolver el incidente en primera instancia designara al personal de soporte técnico responsable de su resolución. Asignación de recursos. Monitorización del estado y tiempo de respuesta esperado. Categorización. Establecimiento del nivel de prioridad.

Se asocia un estado al incidente y se estima el tiempo de resolución del incidente en base al SLA correspondiente y la prioridad. Monitorización del estado y tiempo de respuesta esperado. Categorización. Establecimiento del nivel de prioridad. Q.

Si la pérdida del sistema o los datos no se corrige, el uso continuado de los datos dañados podría dar lugar a inexactitudes, errores, fraude o decisiones erróneas. Pérdida de Integridad. Pérdida de la disponibilidad. Pérdida de la confidencialidad. Pérdida de transferencia.

Puede resultar en pérdida de tiempo productivo. Pérdida de la disponibilidad. Pérdida de la confidencialidad. Pérdida de transferencia. Q.

Este impacto puede ir desde la puesta en peligro de seguridad nacional a la divulgación de la Ley de privacidad de los datos. Pérdida de la confidencialidad. Pérdida de transferencia. Pérdida de Integridad. Pérdida de la disponibilidad.

Cuando se produce un daño aislado y no perjudica a ningún componente de la organización. Impacto bajo. Impacto medio. Impacto alto. Impacto neutro.

A largo plazo puede provocar la desarticulación de la organización. Impacto medio. Impacto alto. Impacto neutro. Impacto bajo.

En corto plazo desmoviliza o desarticula a la organización. Impacto alto. Impacto neutro. Impacto bajo. Impacto medio.

Números de tarjetas de crédito de clientes. Hacker. Competidor. Empleado disgustado. Desastre natural.

Secretos comerciales. Competidor. Empleado disgustado. Desastre natural. Hacker.

Documentos confidenciales. Empleado disgustado. Desastre natural. Hacker. Competidor.

Lista de clientes. Desastre natural. Hacker. Competidor. Empleado disgustado.

Contraseña de usuario. Fuga accidental. Desastre natural. Hacker. Q.

Demostrar que los costos de implementación de esos controles pueden ser justificado por la reducción del nivel del riesgo. Análisis costo-beneficio. Impacto operacional. Viabilidad. Pérdida de Integridad.

Qué implica en el sistema y en la organización llevar a cabo los controles establecidos como respuesta a mitigar el riesgo. Impacto operacional. Viabilidad. Pérdida de Integridad. Q.

Evaluar que tan viable resulta introducir las opciones que se han recomendado. Viabilidad. Pérdida de Integridad. Análisis costo-beneficio. Impacto operacional.

Actividades durante el desastre. Plan de Emergencias. Evaluación de daños. Ejecución de actividades. Evaluación de resultados.

Actividades después del desastre. Evaluación de daños. Plan de Emergencias. Formación de equipos. Entrenamiento.

Incluye las actividades a realizar durante el desastre o siniestros, se debe tener en cuenta la probabilidad de su ocurrencia durante: el día, noche o madrugada. Plan de Emergencias. Formación de equipos. Entrenamiento. Evaluación de daños.

Se debe establecer los equipos de trabajo, con funciones claramente definidas que deberán realizar en caso de desastre. Formación de equipos. Entrenamiento. Evaluación de daños. Plan de Emergencias.

Se debe establecer un programa de prácticas periódicas con la participación de todo el personal en la lucha contra los diferentes tipos de siniestro. Entrenamiento. Evaluación de daños. Plan de Emergencias. Formación de equipos.

El objetivo es evaluar al magnitud del daño producido. Evaluación de daños. Plan de Emergencias. Formación de equipos. Entrenamiento.

La evaluación de los daños reales, nos proporcionará una lista de las actividades que debemos realizar. Priorización de Actividades del Plan de Acción. Ejecución de actividades. Evaluación de Resultados. Retroalimentación del Plan de Acción.

Implica la creación de quipos de trabajo para realizar actividades previamente planificadas en el Plan de Acción. Ejecución de actividades. Evaluación de Resultados. Retroalimentación del Plan de Acción. Q.

Se debe evaluar de forma objetiva todas las actividades realizadas, teniendo en cuenta la eficacia con las que se hicieron. Evaluación de Resultados. Retroalimentación del Plan de Acción. Priorización de Actividades del Plan de Acción. Ejecución de actividades.

Mejorando las actividades que tuvieron algún tipo de dificultas y reforzando los elementos que funcionan adecuadamente. Retroalimentación del Plan de Acción. Priorización de Actividades del Plan de Acción. Ejecución de actividades. Q.

Esta debe garantizar que todos los datos están siendo respaldados. Capacidad para respaldar todos los datos. Frecuencia. Integración de todos los sistemas administradores de datos. Disponibilidad continua.

Es esencialmente un balance entre recursos y la necesidad de datos actualizados. Frecuencia. Integración de todos los sistemas administradores de datos. Disponibilidad continua. Capacidad para respaldar todos los datos.

La estrategia debe conjuntar las necesidades de todos estos sistemas. Integración de todos los sistemas administradores de datos. Disponibilidad continua. Capacidad para respaldar todos los datos. Frecuencia.

En muchas organizaciones los sistemas deben estar disponibles todo el tiempo. Disponibilidad continua. Capacidad para respaldar todos los datos. Frecuencia. Integración de todos los sistemas administradores de datos.

Requerimientos regulatorios o de negocio pueden necesitar de grandes cantidades de medios de almacenamiento. Administración de los medios. Disponibilidad continua. Capacidad para respaldar todos los datos. Frecuencia.

Este será útil en la mediad en que se le de mantenimiento y se compruebe su efectividad. Confiar ciegamente en el plan. Alcance limitado. Débil priorización. Planes no actualizados.

Un plan incompleto no abarcará todas las necesidades de recuperación que tiene la organización. Alcance limitado. Débil priorización. Planes no actualizados. Confiar ciegamente en el plan.

Hay una necesidad de priorizar funciones claves de la organización. Débil priorización. Planes no actualizados. Confiar ciegamente en el plan. Alcance limitado.

El plan debe ser actualizado, especialmente cuando se realizan cambios en los procesos productivos. Planes no actualizados. Confiar ciegamente en el plan. Alcance limitado. Q.

Se requiere en estos proyectos de alguien con poder de liderazgo, influencia, sentido de la prioridad y de organización. Ausencia de liderazgo. Problemas de comunicación. Pérdida de controles de seguridad. Pérdida de apoyo del negocio.

Es necesaria una comunicación clara y precisa con los empleados, proveedores, socios y clientes. Problemas de comunicación. Pérdida de controles de seguridad. Pérdida de apoyo del negocio. Q.

Los controles de seguridad podrían dejarse en un segundo plano, resultando en una exposición mayor al riesgo. Pérdida de controles de seguridad. Pérdida de apoyo del negocio. Ausencia de liderazgo. Problemas de comunicación.

Se requiere involucrar a todas las áreas de negocio en las etapas de análisis de riesgo e impacto. Pérdida de apoyo del negocio. Ausencia de liderazgo. Problemas de comunicación. Pérdida de controles de seguridad.

Estudio preliminar. En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar. Se realiza una obtención de los datos e informaciones esenciales para la investigación. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase se elabora el informe que será remitido a la dirección de la organización o empresa.

Adquisición de datos. Se realiza una obtención de los datos e informaciones esenciales para la investigación. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase se elabora el informe que será remitido a la dirección de la organización o empresa. En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar.

Análisis e investigación. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase se elabora el informe que será remitido a la dirección de la organización o empresa. En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar. Se realiza una obtención de los datos e informaciones esenciales para la investigación.

Realización del informe. En esta fase se elabora el informe que será remitido a la dirección de la organización o empresa. En esta fase se realiza un estudio inicial mediante entrevistas y documentación entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar. Se realiza una obtención de los datos e informaciones esenciales para la investigación. Se realiza un estudio con los datos adquiridos en la fase anterior.

En este análisis se tratarán los incidentes de seguridad acaecidos en servidores y estaciones de trabajo con diferentes sistemas operativos. Análisis forense de sistemas. Análisis forense de redes. Análisis forense de sistemas embebidos. Análisis costo-beneficio.

Engloba el análisis de diferentes redes; cableadas, wireless, bluetooth, etc. Análisis forense de redes. Análisis forense de sistemas embebidos. Análisis costo-beneficio. Análisis forense de sistemas.

Se analizarán los incidentes acaecidos en móviles, PDA, etc. Análisis forense de sistemas embebidos. Análisis costo-beneficio. Análisis forense de sistemas. Q.

Como su nombre indicar es temporal por naturaleza. Evidencia transitoria. Evidencia curso o patrón. Evidencia condicional. Evidencia transferida.

Producidas por contacto. Evidencia curso o patrón. Evidencia condicional. Evidencia transferida. Q.

Causadas por una acción o un evento en la escena del crimen. Evidencia condicional. Evidencia transferida. Evidencia transitoria. Evidencia curso o patrón.

Producidas por contacto entre personas, entre objetos o entre personas y objetos. Evidencia transferida. Evidencia transitoria. Evidencia curso o patrón. Evidencia condicional.

A diferencia de los medios no digitales, en los digitales se presenta gran volatilidad y una alta capacidad de manipulación. Autenticidad. Confiabilidad. Suficiencia o completitud de las pruebas. Respeto por las leyes y reglas del poder judicial.

Sistema que lo produjo no ha sido violado y estaba en correcto funcionamiento al momento de recibir, almacenar o genera la prueba. Confiabilidad. Suficiencia o completitud de las pruebas. Respeto por las leyes y reglas del poder judicial. Autenticidad.

Contar con mecanismos que proporcionen integridad, sincronización y centralización. Suficiencia o completitud de las pruebas. Respeto por las leyes y reglas del poder judicial. Autenticidad. Confiabilidad.

La evidencia digital debe cumplir con los códigos legales del país y respetar y cumplir las normas legarle vigentes en el sistema jurídico. Respeto por las leyes y reglas del poder judicial. Autenticidad. Confiabilidad. Suficiencia o completitud de las pruebas.

Describe el método por el cual el investigador es notificado sobre un posible incidente. Identificación. Preservación. Recopilación. Examinación.

Mecanismos utilizados para el correcto mantenimiento de evidencia. Preservación. Recopilación. Examinación. Identificación.

Involucra técnicas y métodos específicos utilizados en la recolección de evidencia. Recopilación. Examinación. Identificación. Q.

Trata las herramientas y técnicas utilizadas para examinar los datos recolectados y extraer evidencia a partir de ellos. Examinación. Identificación. Preservación. Recopilación.

Refiere a los elementos involucrados en el análisis de la evidencia recolectada. Análisis. Presentación. Examinación. Q.

Herramientas y técnicas utilizadas para presentar las conclusiones del investigador ante una corte u organismo. Presentación. Examinación. Identificación. Análisis.

Análisis de archivos. Muestra los archivos y directorios del sistema permitiendo incluso encontrar los que se encuentran ocultos. Permite tanto la búsqueda como la ordenación de archivos, según su tipo. Permite ver elementos del sistema que no se muestran de manera habitual, como la referencias a archivos o directorios eliminados. Ofrece la posibilidad de entrar en el máximo detalle de cualquier archivo, permitiendo examinar el contenido real del mismo, ya sea en ASCII o hexadecimal.

Tipo de archivo. Permite tanto la búsqueda como la ordenación de archivos, según su tipo. Permite ver elementos del sistema que no se muestran de manera habitual, como la referencias a archivos o directorios eliminados. Ofrece la posibilidad de entrar en el máximo detalle de cualquier archivo, permitiendo examinar el contenido real del mismo, ya sea en ASCII o hexadecimal. Muestra los archivos y directorios del sistema permitiendo incluso encontrar los que se encuentran ocultos.

Metadatos. Permite ver elementos del sistema que no se muestran de manera habitual, como la referencias a archivos o directorios eliminados. Ofrece la posibilidad de entrar en el máximo detalle de cualquier archivo, permitiendo examinar el contenido real del mismo, ya sea en ASCII o hexadecimal. Muestra los archivos y directorios del sistema permitiendo incluso encontrar los que se encuentran ocultos. Permite tanto la búsqueda como la ordenación de archivos, según su tipo.

Unidad de datos. Ofrece la posibilidad de entrar en el máximo detalle de cualquier archivo, permitiendo examinar el contenido real del mismo, ya sea en ASCII o hexadecimal. Muestra los archivos y directorios del sistema permitiendo incluso encontrar los que se encuentran ocultos. Permite tanto la búsqueda como la ordenación de archivos, según su tipo. Permite ver elementos del sistema que no se muestran de manera habitual, como la referencias a archivos o directorios eliminados.

Se trata de una herramienta que nos permite hacer un volcado de la memoria RAM. DumpIt. FTK Imager. Volatility. INCIBE.

Se trata de nuevo de una herramienta que nos permite crear una imagen de la memoria, creando una replica de la misma y permitiendo una visualización previa de los datos. FTK Imager. Volatility. INCIBE. DumpIt.

Se trata de un framework formado por un conjunto de herramientas que permiten extraer pruebas de muestras de memoria RAM. Volatility. INCIBE. DumpIt. FTK Imager.

Son los más populares y tienen hasta su propia película. Hackers. ScriptKiddies. Profesionales. Q.

Son una nueva especie que ha saltado a la escena de la delincuencia informática recientemente. ScriptKiddies. Profesionales. Malware. Hackers.

Son personas con muchísimos conocimientos en lenguajes de programación, en redes y su equipamiento. Profesionales. Malware. Hackers. Q.

Realiza búsqueda de archivos por su tiempo de acceso, sin modificar la información de acceso al mismo. afind. hfind. sfind. filestat.

Busca archivos ocultos en el Sistema Operativo. hfind. sfind. filestat. afind.

Busca flujos de datos ocultos en el disco duro, éstos son distintos de los archivos ocultos y no aparecerán con herramientas normales del sistema operativo. sfind. filestat. afind. hfind.

Ofrece una lista completa de los atributos del archivo que se le pase como argumento (uno cada vez). filestat. afind. hfind. sfind.

Permite obtener información sobre un sistema que utiliza las opciones de sesión NULL, tal como usuarios, recursos compartidos y servicios. hunt. filestat. afind. hfind.

Medio físico de transmisión. Capa física. Capa de enlace de datos. Capa de red. Bloque de datos.

Limitación de los bloques de datos. Capa de enlace de datos. Capa de red. Bloque de datos. Capa física.

Direccionamiento. Capa de red. Bloque de datos. Capa física. Capa de enlace de datos.

Clasificación de los paquetes de datos. Bloque de datos. Capa física. Capa de enlace de datos. Q.

Vigilancia. Metadatos. Capa de presentación. Journaling. Bloque de datos.

Representación de datos. Capa de presentación. Journaling. Bloque de datos. Q.

Funciones de usuario. Journaling. Bloque de datos. Metadatos. Capa de presentación.

Está relacionado con la parte física. Nivel 1. Nivel 2. Nivel 3. Nivel 4.

Este nivel tiene como función el aseguramiento de la transmisión de la cadena de bits de información entre dos sistemas. Nivel 2. Nivel 3. Nivel 4. Nivel 1.

Este nivel permite establecer la operatividad de la red a supervisar y controlar la ruta de comunicación de datos (nodos y caminos). Nivel 3. Nivel 4. Nivel 1. Nivel 2.

En este nivel se debe hablar de cómo se produce el almacenamiento de datos. Nivel 4. Nivel 1. Nivel 2. Nivel 3.

Permanecerán disociados de los archivos; formando parte de las estructuras de control del sistema de archivos. Nivel 5. Nivel 6. Nivel 7. Nivel 8.

En este nivel la información es recogida y almacenada en función de un nombre, el cual es adjudicado a cada archivo (aunque sea por defecto). Nivel 6. Nivel 7. Nivel 8. Nivel 5.

Es el encargado de verificar y actualizar los metadatos almacenados o registrados en capas anteriores. Nivel 7. Nivel 8. Nivel 5. Nivel 6.

Elimina datos a partir de particiones. Windows. NTFS. FAT. Q.

Marca el archivo como borrado sin tocar el nombre. NTFS. FAT. Linux. Windows.

Realiza particiones y sustituye por un guion bajo (_) el primer carácter del archivo. FAT. Linux. Windows. Q.

Realiza particiones en ext2 y ext3, lo cual elimina por completo el nombre pero los metadatos y los punteros de los datos siguen estando intactos. Linux. Windows. NTFS. FAT.

Se especifica una o varias capas de archivo (*.gif, *.doc,…). Recuperación de archivos por nombre. Recuperación de archivos por tipo. Con el navegador del directorio. Bloque de datos.

Recupera los archivos que pueden ser reconocidos por una determinada firma de archivo de encabezado (archivos JPEG, documentos de MS Office,…). Recuperación de archivos por tipo. Con el navegador del directorio. Bloque de datos. Recuperación de archivos por nombre.

Permite recuperar de forma selectiva los archivos de una lista o directorio. Con el navegador del directorio. Bloque de datos. Recuperación de archivos por nombre. Recuperación de archivos por tipo.

Es una herramienta de recuperación del sistema de archivos borrados y carpetas en Linux. Scapel. PlainSlight. Bulk Extractor. P2 eXplorer.

Es una herramienta con gran aplicación en la informática forense, ya que permite analizar la imagen de un disco, archivo o directorio y extraer de ella la información más relevante. Bulk Extractor. Bulk Extractor. P2 eXplorer. Scapel.