ANÁLISIS FORENSE DIGITAL

SEMANA 5

JOSE RAMIREZ CORTES

01-12-2022
TECNICO NIVEL SUPERIOR EN CIBERSEGURIDAD
INTRODUCCION

DESARROLLO
1. En función del contenido de esta semana en el cual se abordó lo relativo a la clasificación de artefactos,
ejemplifique 3 procedimientos asociados a la recolección de evidencia basado en la creación y apertura
de archivos (3 puntos).

En el material que se nos facilitó en la presente semana (IACC 2020 Proceso de adquisición de la evidencia
Parte III) reconocemos estos tres procedimientos que se asocian a la recolección de evidencia:

Abrir/guardar archivos recientemente utilizados (MRU): En términos más simples, esta clave rastrea
archivos que se han abierto o guardado en un cuadro de diálogo de shell de Windows. Esta pasa a ser un
gran conjunto de datos, no solo incluye navegadores como Internet Explorer y Firefox, sino también la
mayoría de las aplicaciones más utilizadas.

Archivos recientes de Office: Los programas de MS Office rastrearán su propia lista de archivos recientes
para facilitar al usuario recordar el último archivo que se estaba editando.

Index.dat (file://): Un hecho poco conocido sobre la historia de IE/Edge es que la información
almacenada en los archivos de historial no se relaciona solo con la navegación por internet. El historial
registra también el acceso a archivos locales y remotos (a través de comparticiones de red), lo que nos da
un excelente medio para determinar qué archivos y aplicaciones se acceden en el sistema día a día

2. En un computador personal con Microsoft Windows, realice una revisión de los registros de Windows
Registry Hives, el denominado HKEY_LOCAL_MACHINE y presente pantallazos de los diferentes pasos
realizados acompañados estos de una breve explicación (3 puntos).

El primer paso fue buscar en la barra de inicio e ingresamos “REGEDIT” para poder encontrar el “editor de
registro”
Ejecutamos el editor de registro y ubicamos HKEY_LOCAL_MACHINE lo cual nos arroja la siguiente
información.

En el artículo ¿What Is HKEY_LOCAL_MACHINE?, 2022 nos explica que HKEY_LOCAL_MACHINE, a menudo

abreviado como HKLM, es una de varias secciones de registro que componen el Registro de Windows.
Esta sección en particular contiene la mayor parte de la información y configuración del software que ha
instalado, así como también del propio sistema operativo Windows.

La subclave HARDWARE contiene datos relacionados con el BIOS, los procesadores y otros dispositivos de
hardware.

La subclave SOFTWARE es a la que se accede más comúnmente desde la sección HKLM. Está organizado
alfabéticamente por el proveedor del software y es donde cada programa escribe datos en el registro
para que la próxima vez que se abra la aplicación, su configuración específica se pueda aplicar
automáticamente para que no tenga que reconfigurar el programa cada vez que se usa.

La subclave SAM hace referencia a la información sobre las bases de datos del Administrador de cuentas
de seguridad (SAM) para los dominios. Dentro de cada base de datos hay alias de grupo, usuarios, cuentas
de invitado y cuentas de administrador, además del nombre utilizado para iniciar sesión en el dominio,
hashes criptográficos de la contraseña de cada usuario y más.

La subclave SECURITY se utiliza para almacenar la política de seguridad del usuario actual. Está vinculado a
la base de datos de seguridad del dominio donde el usuario inició sesión o a la sección de registro en la
computadora local si el usuario inició sesión en el dominio del sistema local.

3. Ejecutando el comando “eventvwr.msc”, de preferencia utilizando privilegios de administrador en un

sistema con Microsoft Windows, presente un pantallazo donde se muestren las “Registros de Aplicaciones
y Servicios” y acompáñelo de una breve explicación de la información desplegada (3 puntos).
CONCLUSION

REFERENCIAS BIBLIOGRÁFICAS
IACC (2020). Proceso de adquisición de la evidencia Parte III. Semana 5

Recursos adicionales.

What Is HKEY_LOCAL_MACHINE? (2022, 14 marzo). Lifewire. https://www.lifewire.com/hkey-

local-machine-2625902