Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEMANA 5
DESARROLLO
1. En función del contenido de esta semana en el cual se abordó lo relativo a la clasificación de artefactos,
ejemplifique 3 procedimientos asociados a la recolección de evidencia basado en la creación y apertura
de archivos (3 puntos).
En el material que se nos facilitó en la presente semana (IACC 2020 Proceso de adquisición de la evidencia
Parte III) reconocemos estos tres procedimientos que se asocian a la recolección de evidencia:
Abrir/guardar archivos recientemente utilizados (MRU): En términos más simples, esta clave rastrea
archivos que se han abierto o guardado en un cuadro de diálogo de shell de Windows. Esta pasa a ser un
gran conjunto de datos, no solo incluye navegadores como Internet Explorer y Firefox, sino también la
mayoría de las aplicaciones más utilizadas.
Archivos recientes de Office: Los programas de MS Office rastrearán su propia lista de archivos recientes
para facilitar al usuario recordar el último archivo que se estaba editando.
Index.dat (file://): Un hecho poco conocido sobre la historia de IE/Edge es que la información
almacenada en los archivos de historial no se relaciona solo con la navegación por internet. El historial
registra también el acceso a archivos locales y remotos (a través de comparticiones de red), lo que nos da
un excelente medio para determinar qué archivos y aplicaciones se acceden en el sistema día a día
2. En un computador personal con Microsoft Windows, realice una revisión de los registros de Windows
Registry Hives, el denominado HKEY_LOCAL_MACHINE y presente pantallazos de los diferentes pasos
realizados acompañados estos de una breve explicación (3 puntos).
El primer paso fue buscar en la barra de inicio e ingresamos “REGEDIT” para poder encontrar el “editor de
registro”
Ejecutamos el editor de registro y ubicamos HKEY_LOCAL_MACHINE lo cual nos arroja la siguiente
información.
La subclave HARDWARE contiene datos relacionados con el BIOS, los procesadores y otros dispositivos de
hardware.
La subclave SOFTWARE es a la que se accede más comúnmente desde la sección HKLM. Está organizado
alfabéticamente por el proveedor del software y es donde cada programa escribe datos en el registro
para que la próxima vez que se abra la aplicación, su configuración específica se pueda aplicar
automáticamente para que no tenga que reconfigurar el programa cada vez que se usa.
La subclave SAM hace referencia a la información sobre las bases de datos del Administrador de cuentas
de seguridad (SAM) para los dominios. Dentro de cada base de datos hay alias de grupo, usuarios, cuentas
de invitado y cuentas de administrador, además del nombre utilizado para iniciar sesión en el dominio,
hashes criptográficos de la contraseña de cada usuario y más.
La subclave SECURITY se utiliza para almacenar la política de seguridad del usuario actual. Está vinculado a
la base de datos de seguridad del dominio donde el usuario inició sesión o a la sección de registro en la
computadora local si el usuario inició sesión en el dominio del sistema local.
REFERENCIAS BIBLIOGRÁFICAS
IACC (2020). Proceso de adquisición de la evidencia Parte III. Semana 5
Recursos adicionales.
local-machine-2625902