Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Forense Temas

    Cargado por

    normluz
    29 vistas7 páginas
    Este documento presenta 10 preguntas sobre conceptos básicos de informática forense en 3 temas diferentes: 1. Define informática forense como un proceso de investigación forense que utiliza evidencia digital. 2. Explica que una evidencia digital almacena información de forma electrónica y puede usarse para confirmar un hecho investigado. 3. Cubre los objetivos de un análisis forense como averiguar qué se alteró y cómo se alteró, pero no quién lo alteró.

    Descripción original:

    test

    Título original

    Forense_temas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento presenta 10 preguntas sobre conceptos básicos de informática forense en 3 temas diferentes: 1. Define informática forense como un proceso de investigación forense que utiliza evidencia digital. 2. Explica que una evidencia digital almacena información de forma electrónica y puede usarse para confirmar un hecho investigado. 3. Cubre los objetivos de un análisis forense como averiguar qué se alteró y cómo se alteró, pero no quién lo alteró.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    29 vistas7 páginas

    Forense Temas

    Cargado por

    normluz
    Este documento presenta 10 preguntas sobre conceptos básicos de informática forense en 3 temas diferentes: 1. Define informática forense como un proceso de investigación forense que utiliza evidencia digital. 2. Explica que una evidencia digital almacena información de forma electrónica y puede usarse para confirmar un hecho investigado. 3. Cubre los objetivos de un análisis forense como averiguar qué se alteró y cómo se alteró, pero no quién lo alteró.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 7

    Análisis Forense Informático

    Tema 1

    1. ¿Cuáles de las siguientes definiciones se corresponden con la definición de


    informática forense?

    A. La informática forense es un proceso de investigación.


    B. Las evidencias que obtengamos de un análisis forense deben de poder ser presentadas
    como medio de prueba.
    C. Algunos autores catalogan la informática forense como un arte.
    D. Todas las anteriores son correctas.

    2. Una evidencia digital


    A. No almacena información en formato electrónico, ya que lo almacena de forma física.
    B. Permite constatar un hecho investigado o ayuda a su esclarecimiento.
    C. No almacenan información en ningún formato.
    D. Almacena información en formato electrónico de forma física o lógica.

    3. Cuál de estos NO es un objetivo de un análisis forense:


    A. Averiguar qué se ha alterado.
    B. Descubrir por qué se ha realizado la alteración.
    C. Saber cómo se ha realizado la alteración.
    D. Descubrir quién ha realizado la alteración.

    4. Cuando intentamos responder a la pregunta «¿Quién ha realizado la


    alteración?»...

    A. Tenemos que descubrir a la persona física responsable de la alteración.


    B. Podemos llegar a descubrir el usuario que realizó la modificación.
    C. Podemos obtener la dirección IP o MAC del equipo desde el que se realizó la alteración.
    D. Las respuestas B y C son correctas.

    5. Las etapas de un análisis forense son:


    A. Recolectar, reservar, analizar y presentar.
    B. Recolectar, preservar y analizar.
    C. Recolectar, preservar, analizar y presentar.
    D. Recolectar, preservar y presentar.

    6. Durante la etapa de recolección, lo que se busca es:


    A. Garantizar que lo que se analiza es lo que se ha recolectado.
    B. Obtener las evidencias que son consideradas de interés.
    C. Responder a la pregunta «¿Cómo se ha alterado?».
    D. Ninguna de las anteriores es correcta.
    7. La recolección de las evidencias
    A. Tiene que hacerse con medios que aseguren, en la medida de lo posible, la no
    modificación de las mismas.
    B. Es necesario documentar los cambios que se hayan tenido que realizar en el equipo si
    no ha sido posible evitar su modificación.
    C. Es el primer paso que se da a la hora de realizar un análisis forense.
    D. Todas las anteriores son correctas.

    8. Durante el análisis de las evidencias


    A. Se intenta responder a la pregunta «¿Qué se ha alterado?», el resto de preguntas se
    responden durante la recolección.
    B. El análisis de las evidencias es el paso previo al estudio de las mismas.
    C. Se estudian las evidencias que han sido recolectadas y preservadas previamente.
    D. Ninguna de las anteriores.

    9. En un informe pericial se tienen que detallar:


    A. El equipo informático objeto del mismo. Si en lugar de un equipo, es cualquier otro
    dispositivo, no se detalla.
    B. Los procedimientos realizados por los peritos. Los resultados obtenidos se han de
    comentar en el acto del juicio oral.
    C. Los procedimientos realizados por los peritos y sus resultados.
    D. Ninguna de las anteriores.

    10. Los objetivos de la cadena de custodia son:


    A. Garantizar la integridad de la evidencia.
    B. Garantizar la posibilidad de localización de la evidencia.
    C. Garantizar la trazabilidad de los accesos a la evidencia.
    D. Todas las anteriores son correctas.

    Tema 2
    1. ¿Qué es un sistema de ficheros?
    A. Es la forma en la que se distribuyen los ficheros de un dispositivo.
    B. Es la forma en que se organiza, gestiona y mantiene la jerarquía de ficheros.
    C. Es la forma en la que se organizan las jerarquías de ficheros.
    D. Ninguna de las anteriores es correcta.

    2. Los sistemas de ficheros evitan que los programas tengan que conocer la
    ubicación física de un fichero.
    A. Verdadero.
    B. Falso.

    3. Cuando eliminamos un archivo


    A. No lo borramos físicamente.
    B. Según el sistema de ficheros utilizado, indicamos que el espacio que ocupaba se
    encuentra ahora libre.
    C. Lo borramos físicamente.
    D. Las respuestas A y B son correctas.
    4. La sobrescritura del espacio que utilizaba un archivo eliminado
    A. Hace que su recuperación total sea imposible.
    B. Permite recuperar el archivo, pero no los datos asociados al mismo.
    C. Permite recuperar completamente el archivo.
    D. Ninguna de las respuestas es correcta.

    5. Si eliminamos un archivo, vaciamos la papelera de reciclaje (o similares) y


    se sobrescribe el enlace al archivo del índice, podemos recuperar:
    A. Solo el archivo, sin los datos asociados al mismo.
    B. Solo el archivo, pero parcialmente, pues se ha sobrescrito el enlace al archivo en el
    índice.
    C. El archivo y los datos asociados al mismo.
    D. No podemos recuperar nada.

    6. La firma de un archivo se suele encontrar al principio del mismo y es


    independiente de la extensión.
    A. Verdadero.
    B. Falso.

    7. La recuperación en bruto
    A. Consiste en buscar los archivos por la extensión de los mismos.
    B. Consiste en leer los espacios del disco duro marcados como libres y buscar en los
    mismos, firmas de archivos conocidas.
    C. Consiste en leer del índice los archivos marcados como borrados.
    D. Ninguna de las anteriores es correcta.

    8. Los metadatos son datos que describen otros datos.


    A. Verdadero.
    B. Falso.

    9. Los metadatos se pueden encontrar en


    A. Prácticamente todo tipo de archivos.
    B. Solo en archivos ofimáticos.
    C. Solo en archivos de imagen y ofimáticos.
    D. No suelen existir metadatos en los archivos.

    10. Todos los archivos tienen los mismos metadatos asociados.


    A. Verdadero.
    B. Falso.

    Tema 3
    1. ¿Qué dos grandes grupos de evidencias digitales existen?
    A. Volátiles y cambiantes.
    B. Cambiantes y no volátiles.
    C. Volátiles y no volátiles.
    D. Cambiantes y no cambiantes.
    2. En cuanto a las evidencias
    A. Las evidencias no volátiles son aquellas que cambian con facilidad.
    B. La memoria RAM es una evidencia no volátil.
    C. Las evidencias no volátiles son aquellas que no cambian con facilidad.
    D. Un disco duro es un tipo de evidencia cambiante.

    3. En cuanto al orden de volatilidad de las evidencias


    A. Un disco duro es más volátil que la memoria RAM.
    B. Los datos almacenados en dispositivos removibles son más volátiles que la caché de la
    CPU.
    C. La memoria RAM es más volátil que los datos almacenados remotamente.
    D. Ninguna de las anteriores es correcta.

    4. A la hora de acotar la escena del crimen debemos de tener en cuenta


    A. Los equipos que no tienen que ver con el incidente.
    B. Los equipos que han sufrido de manera directa el incidente.
    C. Todos los equipos son importantes.
    D. Ninguna de las anteriores es correcta.

    5. Cuando adquirimos la memoria RAM:


    ¡Correcto!
    A. El programa que utilicemos para su adquisición modificará la propia memoria RAM.
    B. La memoria RAM no se adquiere, pues es una evidencia volátil.
    C. La memoria RAM no se adquiere, pues es una evidencia no volátil.
    D. El programa que utilicemos para su adquisición no la modificará.

    6. Del análisis de la memoria RAM podemos obtener:


    A. Contraseñas de acceso (en claro o el hash de las mismas).
    B. Documentos abiertos por el usuario, aunque no se hubieran guardado.
    C. Imágenes que se estuvieran visualizando.
    D. Todas las anteriores son correctas.

    7. Durante la adquisición de evidencias volátiles


    A. Podemos utilizar los propios programas instalados en el equipo.
    B. Debemos de tener cuidado al utilizar programas instalados, pero podemos utilizarlos.
    C. Utilizaremos programas independientes del equipo a examinar.
    D. No hace falta utilizar ningún programa para adquirir las evidencias volátiles.

    8. La adquisición de evidencias no volátiles


    A. Se hace siempre en frío.
    B. Se hace siempre en caliente.
    C. Se hace en frío o en caliente en función de diversos factores.
    D. No importa si se realiza en frío o en caliente, el resultado es el mismo.

    9. Una función hash


    A. Para cada entrada generará una salida única.
    B. Cualquier mínima alteración en la entrada, hará que la salida cambie.
    C. A partir de la salida, es imposible obtener la entrada.
    D. Todas las anteriores son correctas.
    10. El proceso de adquisición de una evidencia es:
    A. Hash a la evidencia original, adquisición, hash a la evidencia original y a la copia.
    B. Hash a la evidencia original, adquisición, hash a la evidencia original.
    C. Hash a la evidencia original, adquisición, hash a la copia.
    D. Adquisición, hash a la evidencia original y a la copia.

    tema 4

    1. La identificación de volúmenes cifrados, ¿a qué fase del análisis pertenece?


    A. Durante el análisis no se identifican los volúmenes cifrados.
    B. Al post-análisis.
    C. A la fase de análisis.
    D. A la fase de pre-análisis.

    2. ¿Cuál es el objetivo de realizar un hash a los archivos contenidos en la


    evidencia?
    A. Comprobar si en los archivos que vamos a analizar coincide lo que la extensión indica
    con el contenido del archivo.
    B. Filtrar los archivos a analizar, pudiendo categorizarlos en «malos» y «buenos».
    C. Es contraproducente la realización de un hash a los archivos contenidos en la
    evidencia.
    D. Ninguna de las anteriores es correcta.

    3. Respecto a la búsqueda de palabras clave:


    A. En ocasiones nos podemos encontrar con análisis en los que es necesario obtener
    documentos relacionados con determinadas palabras.
    B. Es una tarea perteneciente a la fase de pre-análisis.
    C. No se usa para buscar documentos en los que se mencione a personas.
    D. Es una tarea perteneciente a la fase de post-análisis.

    4. Respecto de la identificación de las máquinas virtuales:


    ¡Correcto!
    A. Si nos encontramos con un disco duro virtual, procederemos a analizarlo como si de
    una máquina distinta se tratara.
    B. No es necesario identificar las máquinas virtuales.
    C. Es una tarea perteneciente a la etapa de «análisis».
    D. Ninguna de las anteriores son correctas.

    5. Durante el análisis del sistema operativo:


    A. Tenemos que responder a preguntas como: ¿es una versión no oficial o hay alguna
    actualización que no lo sea?
    B. Se realiza un análisis de seguridad para determinar si el equipo se encuentra infectado
    por algún virus.
    C. Obtenemos los dispositivos que han sido conectados al equipo.
    D. Todas las respuestas son correctas.
    6. Durante el análisis de los componentes de red:
    A. Obtenemos la lista de programas que permitan realizar el hecho que se está
    investigando.
    B. Los componentes de red no se analizan.
    C. Obtenemos la lista de páginas web visitadas por el usuario.
    D. Ninguna de las anteriores es correcta.

    7. Referido a los archivos de interés en Windows:


    A. Son los mismos que en Linux y MacOS.
    B. Los más importantes son «el registro de Windows», «los archivos de eventos» y «los
    archivos de paginación e hibernación».
    C. No proporcionan apenas información de interés.
    D. Son los mismos que en MacOS.

    8. El registro de Windows:
    A. Es uno de los archivos de interés del sitema operativo Windows.
    B. Es una gran base de datos donde se almacena información.
    C. Las respuestas A y B son correctas.
    D. Windows no dispone de registro.

    9. Los archivos de interés en Linux:


    A. Son los mismos que los de Windows.
    B. Son los mismos que los de Windows y MacOS.
    C. La partición de intercambio «swap» no es uno de ellos.
    D. Ninguna de las anteriores es correcta.

    10. Los archivos de interés en MacOS:


    A. La carpeta «/private/var/vm» contiene los archivos «sleepimage» y «swapfile»,
    similares a los archivos de paginación e hibernación en sistemas Windows.
    B. Son los mismos que los de Windows.
    C. MacOS no almacena archivos de logs.
    D. No contienen información sobre las contraseñas almacenadas por los usuarios.

    También podría gustarte