option
Cuestiones
ayuda
daypo
CREAR TEST
buscar.php

zombis_artefactos

COMENTARIOS ESTADÍSTICAS RÉCORDS
REALIZAR TEST
Título del Test:
zombis_artefactos

Descripción:
intento 1 y 2 y 3
Fecha de Creación: 2026/02/22

Categoría: Otros

Número Preguntas: 83

Valoración:(0)
COMPARTE EL TEST
Nuevo ComentarioNuevo Comentario
Comentarios
NO HAY REGISTROS
Temario:

Indexing Service puede: Servir como diccionario para cracking. Eliminar logs. Borrar MFT. Cifrar archivos.

El registro de Windows es: Una base SQL externa. Una base de datos jerárquica de configuración. Un servicio de red. Un archivo plano de logs.

Los comandos ejecutados desde “Inicio → Ejecutar” se guardan en: HKLM\Software\Run. HKLM\Services. HKCU\Startup. HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU.

El timestamp del $I está en: Offset 16. Offset 32. Offset 8. Offset 520.

Edge almacena historial en: Cookies.log. WebCacheV01.dat. History.txt. Index.dat.

¿Cuál de los siguientes es un artefacto de Windows?. IDS industrial. Switch gestionable. Ficheros Prefetch. Firewall perimetral.

WebCacheV01.dat almacena: Solo cookies. Certificados. Solo descargas. Historial y cookies.

Los archivos $I contienen: Claves de cifrado. Metadatos del archivo eliminado. Logs de sistema. Contenido binario del archivo.

ShellBags Explorer es de: Microsoft. Nirsoft. Eric Zimmerman. Google.

Apps instaladas se listan en: HKLM\Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications. HKCU\Software\Store. HKLM\Store. HKCU\Appx.

Chrome Preferences en Windows está en: C:\Windows\Chrome\. C:\ProgramData\Chrome\. C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\Preferences. \Temp\Chrome.

LocationTriggers contiene: Nombre lugar y latitud/longitud. Solo nombres. Claves API. Hashes.

MACB significa: Main, Alternate, Core, Backup. Modified, Accessed, Changed, Birth. Metadata, Access, Cache, Boot. Modified, Archived, Created, Backup.

80 00 00 00 identifica: $OBJECT_ID. $FILE_NAME. $DATA. $STANDARD_INFORMATION.

¿Qué es un artefacto en análisis forense de Windows?. Elemento del sistema que puede evidenciar actividad de usuario o malware. Una prueba judicial validada por un juez. Un registro exclusivo de malware. Un archivo eliminado permanentemente.

En NTFS moderno (Vista+), la papelera está en: X:\RECYCLER. X:\$Recycle.Bin. X:\RECYCLED. X:\Trash.

El identificador 10 00 00 00 corresponde a: $FILE_NAME. $INDEX_ROOT. $STANDARD_INFORMATION. $DATA.

¿Qué clave permite persistencia en arranque?. HKCU\ControlPanel\Desktop. HKCU\Software\Microsoft\Windows\Temp. HKLM\Software\Microsoft\Windows\CurrentVersion\Run. HKLM\System\Drivers.

icat sirve para: Eliminar archivos. Instalar drivers. Extraer contenido de entrada MFT. Modificar timestamps.

CBS.log contiene: Cookies. Información de Windows Resource Protection. MRU. Historial web.

Shellbags se almacenan en: EVTX. USRCLASS.DAT y NTUSER.DAT. MFT. Prefetch.

IE XP historial en: History.IE5. History.xml. History.db. History.edb.

En la MFT, 01 00 indica: Clúster libre. Fichero actual. Directorio borrado. Fichero borrado.

Los ficheros Prefetch permiten conocer: Contraseñas almacenadas. Claves privadas TLS. Contenido completo de archivos. Última ejecución de aplicaciones.

00 00 en bytes 22-23 indica: Directorio actual. Fichero borrado. Clúster erróneo. Sector libre.

En FAT12 clúster libre es: 0xFFF7. 0xFFF8. 0x000. 0xFF8.

ReadyBoost permite: Hacer snapshot. Usar USB como caché. Cifrar disco. Crear RAID.

Las Windows Apps se instalan en: C:\ProgramData\Apps\. C:\Windows\Apps. C:\Apps\. \Program Files\WindowsApps\.

En XP miniaturas estaban en: Thumbcache.edb. Images.dat. Thumbs.db. Thumbs.xml.

MFTECmd es herramienta de: Microsoft. Eric Zimmerman. TZWorks. Nirsoft.

Windows 10 soporta: NTFS, FAT32, ExFAT. EXT4, NTFS. ZFS, NTFS. BTRFS.

Los archivos $R contienen: Metadatos de red. Solo timestamps. Datos hash. Contenido original eliminado.

Windows.edb es: Base EDB. SQLite. CSV. XML.

El log setupact.log registra: Conexiones de red. Eventos USB. Contraseñas fallidas. Acciones de instalación.

setupapi.dev.log contiene: MRU. Instalación drivers Plug and Play. Shadow copies. Historial web.

RecycleBinSize está en: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. HKLM\Recycle. HKCU\Bin. HKLM\Policies\Bin.

Desde Vista, Thumbcache está en: C:\Windows\Thumbs\. C:\Thumbs\. \System32\Thumbs. \Users\user\AppData\Local\Microsoft\Windows\Explorer\.

Centro Notificaciones usa: notify.log. toast.dat. wpndatabase.db. alerts.xml.

Prefetch fue introducido en: Windows 95. Windows XP. Windows 11. Windows 2000.

Cortana usa: Index.dat. History.dat. IndexedDB.edb. Logfile.txt.

Apps borradas se listan en: HKCU\Appx\Deleted. HKLM\DeletedApps. HKCU\Software\Deleted. HKLM\Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted.

30 00 00 00 identifica: $BITMAP. $FILE_NAME. $STANDARD_INFORMATION. $DATA.

Los documentos recientes abiertos (excepto Office) se almacenan en: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU. HKLM\SYSTEM\RecentDocs. HKLM\Software\Microsoft\Office\MRU. HKCU\RunMRU.

El tamaño máximo de una clave del registro es: 255 caracteres. 1024 caracteres. Sin límite. 128 caracteres.

La carpeta Prefetch se encuentra en: C:\Windows\Logs. C:\Program Files\Prefetch. C:\Users\Default\Prefetch. %SystemRoot%\Prefetch.

Windows.edb está en: C:\Users\Search\. C:\Windows\Search\. C:\Temp\. C:\ProgramData\Microsoft\Search\Data\Applications\Windows\.

Un campo útil en LNK es: Token Kerberos. Clave privada RSA. Hash SHA512. MAC Address.

La zona MFT ocupa aproximadamente: 50%. 25%. 12.5% de la partición. 5%.

winsat.log mide: Rendimiento sistema. Conexiones red. Eventos USB. Contraseñas.

WinPrefetchView es de: Autopsy. TZWorks. Microsoft. Nirsoft.

LNK puede revelar: Clave privada. Token OAuth. Password hash. Hostname del equipo.

Atributos Resident están: En clúster externo. En shadow copy. En la MFT. En RAM.

La caché de Edge está en: \ProgramData\Edge. \Temp\Edge. AC#!001\MicrosoftEdge\Cache. C:\Windows\Cache.

Actividad USB se encuentra en: HKCU\USB. HKLM\USB\History. HKLM\System\CurrentControlSet\Enum\USBStor. HKCU\System\USB.

Los EVTX están en: C:\Windows\Temp\. C:\Logs\. \Windows\System32\winevt\Logs\. C:\System32\Config.

TSK permite: Hacer sniffing. Editar registro en vivo. Capturar RAM. Analizar sistemas de archivos.

El análisis de USBStor permite: Identificar dispositivos conectados. Descifrar BitLocker. Recuperar contraseñas WiFi. Extraer RAM.

Nonresident se usan cuando: Información no cabe en MFT. Archivo es pequeño. Es ejecutable. Está cifrado.

Reminders almacena: Hashes. Contraseñas. Claves públicas. Creación y tiempo completado.

SuperFetch se configura en: HKLM\Software\Explorer. HKCU\Software\Prefetch. HKLM\Services\Boot. HKLM\SYSTEM\CurrentControlSet\services\sysmain.

Windows 10 soporta: NTFS, FAT32, ExFAT. EXT4, NTFS. BTRFS. ZFS, NTFS.

IE XP historial en: History.db. History.edb. History.xml. History.IE5.

Desde Vista, Thumbcache está en: C:\Windows\Thumbs\. \System32\Thumbs. C:\Thumbs\. \Users\user\AppData\Local\Microsoft\Windows\Explorer\.

Los archivos $R contienen: Metadatos de red. Datos hash. Contenido original eliminado. Solo timestamps.

Atributos Resident están: En shadow copy. En la MFT. En clúster externo. En RAM.

En NTFS moderno (Vista+), la papelera está en: X:\RECYCLED. X:\Trash. X:\$Recycle.Bin. X:\RECYCLER.

icat sirve para: Eliminar archivos. Extraer contenido de entrada MFT. Modificar timestamps. Instalar drivers.

Windows.edb es: XML. Base EDB. SQLite. CSV.

Apps borradas se listan en: HKLM\DeletedApps. HKCU\Software\Deleted. HKCU\Appx\Deleted. HKLM\Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted.

setupapi.dev.log contiene: Historial web. Shadow copies. MRU. Instalación drivers Plug and Play.

El log setupact.log registra: Conexiones de red. Acciones de instalación. Contraseñas fallidas. Eventos USB.

00 00 en bytes 22-23 indica: Fichero borrado. Clúster erróneo. Sector libre. Directorio actual.

winsat.log mide: Contraseñas. Conexiones red. Rendimiento sistema. Eventos USB.

Centro Notificaciones usa: toast.dat. alerts.xml. wpndatabase.db. notify.log.

En la MFT, 01 00 indica: Directorio borrado. Fichero borrado. Clúster libre. Fichero actual.

RecycleBinSize está en: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. HKLM\Policies\Bin. HKCU\Bin. HKLM\Recycle.

LocationTriggers contiene: Claves API. Hashes. Solo nombres. Nombre lugar y latitud/longitud.

Cortana usa: History.dat. Index.dat. Logfile.txt. IndexedDB.edb.

Reminders almacena: Claves públicas. Contraseñas. Hashes. Creación y tiempo completado.

Desde Vista, Thumbcache está en: C:\Thumbs\. \Users\user\AppData\Local\Microsoft\Windows\Explorer\. C:\Windows\Thumbs\. \System32\Thumbs.

SuperFetch se configura en: HKLM\Services\Boot. HKCU\Software\Prefetch. HKLM\SYSTEM\CurrentControlSet\services\sysmain. HKLM\Software\Explorer.

Nonresident se usan cuando: Archivo es pequeño. Está cifrado. Es ejecutable. Información no cabe en MFT.

MFTECmd es herramienta de: Eric Zimmerman. Microsoft. Nirsoft. TZWorks.
Denunciar Test