GUÍA ÚNICA PARA EL DESARROLLO DEL COMPONENTE PRÁCTICO DEL
CURSO ANÁLISIS FORENSE
WILSON FERNEY PARDO RICO
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTA D.C.
2022
1
�GUÍA ÚNICA PARA EL DESARROLLO DEL COMPONENTE PRÁCTICO DEL
CURSO ANÁLISIS FORENSE
WILSON FERNEY PARDO RICO
Análisis Forense
Milton Javier Mateus
Tutor de Curso
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD
ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA - ECBTI
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTA D.C.
2022
2
� CONTENIDO
Pág.
1. OBJETIVOS 5
2. DESARROLLO DE LA ACTIVIDAD 6
Crear sentencias y llamados a la base de datos, crear 8 sentencias de las cuales 5
se ejecuten bien y 3 que no estén bien desarrolladas. 7
Recolección de estructuras volátiles 10
Para el desarrollo del análisis forense se realizará la recolección de estructuras
volátiles. 10
3 CONCLUSIONES 14
BIBLIOGRAFÍA 15
3
� INTRODUCCIÓN
Hoy en día la información tiene un gran valor para las empresas, es por eso que
se debe proteger a todo costo, tomando las medidas necesarias para garantizar su
protección.
Los análisis que se realizan a las diferentes bases de datos tienen como objetivo
identificar todas las vulnerabilidades de seguridad propias y una vez identificadas
poder realizar un plan de mitigación que permita garantizar la seguridad y
confiabilidad de la información.
El uso de las herramientas de seguridad nos permite hacer una interventoría a la
información y bases de datos ayudando a salvaguardar y tener disponible dicha
información.
4
� 1. OBJETIVOS
1.1 OBJETIVO GENERAL
Realizar el respectivo análisis forense a la base de datos Northwind en MS
SQL SERVER.
1.2 OBJETIVOS ESPECÍFICOS
Con la ayuda de las diferentes herramientas efectuar la captura de
información de la base de datos Northwind con respecto a data caché, plan
caché y server state.
Analizar los resultados de seguridad obtenidos en la base de datos
Northwind.
5
� 2. DESARROLLO DE LA ACTIVIDAD
Para el desarrollo de la presente practica se requiere realizar las descargas del
programa SQL Server y de la base de datos Northwind.
Figura 1: Descarga base de datos Northwind
Se crea y carga la base de datos Northwind en el programa SQL Server.
Figura 2: Carga de Base de datos Northwind
6
�CREAR SENTENCIAS Y LLAMADOS A LA BASE DE DATOS, CREAR 8
SENTENCIAS DE LAS CUALES 5 SE EJECUTEN BIEN Y 3 QUE NO ESTÉN
BIEN DESARROLLADAS.
Se realizaron 8 sentencias con ejecución ok y se 3 las cuales arrojan error.
Sentencia # 1
Figura 3: Sentencia # 1
Sentencia # 2
Figura 4: Sentencia # 2
Sentencia # 3
Figura 5: Sentencia # 3
7
�Sentencia # 4
Figura 6: Sentencia # 4
Sentencia # 5
Figura 7: Sentencia # 5
Sentencia # 6
Figura 8: Sentencia # 6
Sentencia # 7
8
� Figura 9: Sentencia # 7
Sentencia # 8
Figura 10: Sentencia # 8
Sentencia # 9 error # 1
Figura 11: Sentencia # 9 error #1
Sentencia # 10 error # 2
9
� Figura 12: Sentencia # 10 error #2
Sentencia # 11 error # 3
Figura 13: Sentencia # 11 error #3
RECOLECCIÓN DE ESTRUCTURAS VOLÁTILES
Para el desarrollo del análisis forense se realizará la recolección de estructuras
volátiles.
Las herramientas forenses utilizada fue SQL Analyzer para generar un reporte de
sentencias ejecutadas.
Figura 14: Escaneo realizado
10
� Figura 15: Log de sentencias, consulta y datos modificados
Plan caché – compilación de sentencias sql
Con SQL Server y la ejecución de funciones de administración dinámica que nos
permite ejecutar y visualizar el contenido del caché del plan. Las siguientes son las
funciones utilizadas.
sys.dm_exec_cached_plans
sys.dm_exec_sql_text
sys.dm_exec_query_plan
Figura 16: Data Caché
11
�En la siguiente figura se observa en la forma que se ejecuta el plan anterior.
Figura 17: Ejecución de Plan
Figura 18: cache clock
Para la consulta de los Procesos activos se ejecutó: sys.sysprocess
12
� Figura 19: Procesos activos
Database connections
El comando SP_WHO nos proporciona la información sobre los usuarios, las
sesiones y los procesos actuales en la base de datos de Microsoft SQL Server.
Figura 20: Conexiones a la base de datos Northwind
Database sessions
Figura 21: Database Sesión
Sentencias sql recientemente ejecutadas
13
� Figura 22: Sentencias sql
3 CONCLUSIONES
Con las diferentes aplicaciones pudimos corroborar que la herramienta SQL
ANALYZER, DFF y de más herramientas internas de SQL SERVER nos permiten
observar los cambios realizados a la base de datos.
Con la herramienta SQL ANALYZER QUERY se lograron las sentencias
ejecutadas en la base de datos.
Con ayuda de las diferentes herramientas se logro el objetivo de descargas los
diferentes datos e información para efectuar la validación y búsqueda de actividad
no autorizada, lo cual nos permite realizar los planes de mitigación
correspondiente.
14
� BIBLIOGRAFÍA
BEN, RICHARDSON, [en línea] Descripción de la memoria caché del plan
de consulta de SQL Server [18 de enero de 2018] disponible en:
https://www.sqlshack.com/understanding-sql-server-query-plan-cache/
KRIS WENZEL [en línea] Planes de consulta en SQL [6 de marzo de 2022]
disponible en: https://www.essentialsql.com/what-is-a-query-plan/
JOTAJOTAVM, [en línea] SQL Server | 51 - Exportar a Excel desde SQL
server [22 feb 2017] disponible en: https://www.youtube.com/watch?v=-
tPfgJ_tc5U
15
