En Windows, ¿qué comando se utiliza para mostrar las estadísticas de las conexiones actuales de

TCP/IP y del protocolo?

1. NETSAT.

2. IPCONFIG.
3. NETBSTAT -n.
4. ARP -a)

¿Qué herramientas se incluyen en la distribución forense OSForensics?

1. Wireshark, Xplico, Log2timeline, Sleuth Kit y Autopsy.

2. Autopsy, Raw Copy, Last Activity View y CAINE.

3. Xplico, Wireshark, Ram Capturer, PSTools y WinAudit.
4. Last Activity View, Log2timeline, Wireshark y SIFT Workstation.

¿Cuál es una de las funcionalidades de CAINE de mayor utilidad?

1. Permite obtener la memoria RAM.

2. Permite la realización de imágenes de discos.

3. Permite un análisis completo de cualquier equipo que funcione con el sistema operativo Windows.
4. Permite ver quién está conectado a nivel local o remoto.

¿Cuáles de las siguientes constituyen buenas prácticas que llevar a cabo durante el proceso de
adquisición?

1. Permitir la entrada en la escena de personal de la organización, administradores, usuarios y externos.

2. Identificar al fabricante de los equipos y a todos los proveedores relacionados con sistemas de la
información.
3. Si el dispositivo está encendido, apagarlo, y si está apagado, encenderlo.
4. Etiquetar todos los dispositivos y el cableado asociados con las evidencias.

Entre otros elementos, ¿qué se puede encontrar dentro de la memoria RAM?

1. Procesos en ejecución de los programas, conexiones inactivas y logs.

2. Procesos en fases de finalización, direcciones web y correos electrónicos.

3. Datos de texto con los que no trabaja activamente la CPU y contraseñas.
4. Conexiones activas, datos no volátiles, procesos de inicio de programas y direcciones web)

Dentro de la serie de herramientas PSTools, ¿cuál es la función de PsService?

1. Permite ver quién está conectado a nivel local o remoto.

2. Habilita el servicio de cambio de contraseñas.
3. Habilita el visionado y control de los servicios.
4. Permite suspender los procesos.

¿Qué herramienta permite copiar ficheros bloqueados por el sistema?

1. Last Activity View.

2. WinAudit.
3. WMI.
4. Raw Copy.
¿Qué fichero se creará una vez ejecutada la herramienta RAM Capturer?

1. "RAMmemory.txt".
2. "Rawcopy64.exe".
3. "MemoriaRAM.dmp".
4. "Copyram.exe".

¿Cuáles son los posibles escenarios que se pueden encontrar antes del proceso de adquisición?

1. Equipo en modo encendido, modo apagado, modo cloud o virtualización.

2. Equipo modo apagado, equipo clonado o conectado a la red)
3. Equipo virtualizado, equipo desenchufado de la corriente eléctrica o en la nube.
4. Equipo en la nube, equipo en modo encendido o equipo clonado.

¿Cuál es la utilidad del comando NetShare?

1. Muestra los recursos compartidos de Linux.

2. Muestra los servicios del sistema Windows.
3. Devuelve la configuración de TCP/IP.
4. Muestra los recursos compartidos en Windows.

¿Cuál es el principal elemento de volatilidad y, por lo tanto, uno de los prioritarios de adquirir
como evidencia?

1. La memoria RAM.

2. La memoria caché.
3. El correo electrónico.
4. El disco duro.

El proceso de adquisición debe comenzar por:

1. Redactar un informe.
2. Tomar una fotografía de la escena o captura de pantalla)
3. Extraer las evidencias no volátiles.
4. Analizar los datos adquiridos.

En lo relativo a la adquisición de la memoria RAM, ¿cuál es la primera instrucción que se ejecuta?

1. Unified Extensible Firmware Interface (UEFI).

2. Read Only Memory.

3. Power-on self-test (POST).
4. Basic Input Output System (BIOS).

Documentar toda la investigación desde el inicio:

1. Solo se recomienda en procesos judicializados.

2. Será una tarea que se llevará a cabo cuando el escenario encontrado sea con un equipo en modo
encendido.
3. Es una buena práctica que implementar desde el proceso de adquisición.
4. Será la mejor forma de descartar las evidencias adquiridas que no sean útiles para la investigación.
¿Qué herramienta de las incluidas en PSTools se deberá utilizar si se necesita apagar y reiniciar
un equipo?
1. PsUptime.
2. PsShutdown.
3. PsLoggedOff.
4. PsGetSid)
¿Cuáles son las opciones de administración de WMI?
1. Autorizar a usuarios o grupos y establecer niveles de permisos, copia de seguridad del repositorio y
configurar el registro de errores.
2. Autorizar los permisos de administrador, copia de seguridad del disco duro y configurar el registro de
errores.
3. Autorizar a usuarios o grupos, copia de seguridad de la memoria RAM y configurar los permisos.
4. Establecer permisos de usuario, factores de autenticación de administradores y configurar el registro de
errores.

¿Cuál de las distribuciones forenses mostradas durante esta unidad contiene un conjunto de
programas orientados a la respuesta ante incidentes?
1. CAINE.
2. Scripting.
3. OSForensics.
4. SIFT Workstation.

¿Qué comando permite mostrar la configuración de la red en Linux?

1. IFCONFIG eth0.

2. WHO -u.
3. PS -ef.
4. NBTSTAT -n.

La herramienta WinAudit:

1. Permite realizar un análisis completo de cualquier equipo que funcione bajo el sistema operativo
Windows.
2. Permite realizar un análisis completo de equipos a partir de Windows 2000.
3. Permite realizar un análisis completo de cualquier equipo, independientemente del sistema operativo.
4. Incluye, a su vez, un paquete de herramientas que ayudan a administrar sistemas Windows.

Permitir la gestión del sistema automatizando procesos rutinarios y realizar potentes scripts en
Linux es una característica de:

1. Visual Basic)

2. Powershell.
3. CMd)
4. Bash.