Señalar la respuesta incorrecta en relación con el análisis e información sobre los volcados de

memoria en un análisis forense:

1. Los archivos de registro o logs que nos permiten acceder a tal información son
idénticos para sistemas Windows y Linux. Esta es incorrecta SI o si.
Independientemente de que nos indique que otra de las opciones es incorrecta
2. Podemos acceder a esta información a través de un archivo de registro o archivo de log
específico, ya estudiado.
3. Proporciona al analista forense importantes evidencias de cara al análisis.
4. El analista puede obtener una trazabilidad de las últimas acciones con relación a dicho
volcado.

¿Cuáles son las principales opciones de administración de Windows Management

Instrumental?

1. Realizar el volcado de registro de sucesos, autorizar a usuarios o grupos y establecer

niveles de permisos.
2. Habilitar el visionado y control de los servicios; consultar el tiempo que un sistema ha
estado funcionando desde el último reinicio se muestra con esta herramienta)
3. Permitir ver quién ha estado logueado, configurar el registro de errores y apagar o
reiniciar un equipo.
4. Realizar una copia de seguridad del repositorio, configurar el registro de errores y
autorizar a usuarios o grupos y establecer niveles de permisos.

Los IPS, además de identificar actividades sospechosas y/o maliciosas, son capaces de:

1. Detenerlas.

(Extinguir y detenerla puede ser son sinónimos)

¿Qué artefacto permite controlar el uso de cuentas comprometidas conocidas?
de inicio de sesión.
1. Último login. PELEAR Laslog también es valido en linux
2. Tipos de inicio de sesión
3. Plug & play log.
4. Inicios de sesión válidos o erróneos. Es solo en Windows
En relación con Volume Shadow Copy, ¿cuál es la respuesta correcta?
1. Genera copias ocultas dentro del sistema de archivos, que se integra en el sistema operativo
concreto.

¿De qué manera podría el investigador forense obtener una "instantánea en el tiempo" de lo que el
usuario estaba viendo en línea?
1. Consultando las super cookies.
2. Consultado el caché.
3. Consultando la carpeta "Prefetch".
4. Consultando los eventos de servicios.

DE NINGUNA DE LAS 4 OPCIONES ES POSIBLE QUE EL ANALISTA PUEDA SACAR UNA

INSTANTANEA.
Las super cookies no todas las webs las utilizan y no es en la super cookies donde necesariamente se
guardan las URL del historial para las webs visitadas.

El cache no se actualiza con cada visita, solo cuando el contenido almacenado en el cache ha
alcanzado su fecha de expiración

La carpeta “Prefetch” la da como invalida el sistema.

Los eventos de servicios no guardan registros de eventos de navegadores que no estén integrados
con el sistema como por ejemplo Firefox o crome.

¿Son compatibles con todos los sistemas operativos las herramientas estudiadas para el
análisis forense de red?
1. Únicamente son compatibles con Windows.
2. Son herramientas compatibles tanto con Windows como con Linux.
3. Depende de la herramienta en cuestión, ya que todas presentan características
diferentes.
4. Solo funcionan en Linux.

La mayor parte de herramientas de forensics se hacen para Linux aunque no exclusivantes.

¿Cuáles son los pasos seguidos por la herramienta Wireshark para el análisis del protocolo SMTP en
correo electrónico?
1. Toma de la captura de paquetes de red, filtrado de paquetes relevantes para el análisis,
interceptación de los campos de la transferencia, extracción de archivos intercambiados por
correo y filtrado avanzado como último paso.

Sobre los archivos de registro o archivos de log:

1. De ellos se obtiene información sobre el sistema y sus últimas modificaciones, lo cual
constituye una pieza fundamental y que proporciona al analista forense importantes
evidencias.

¿Cuál de las siguientes distribuciones forenses resulta muy recomendable por contar con el acceso a
apoyo de la comunidad?
1. SIFT Workstation.

¿Qué es SNORT?
1. Es un sistema destinado a la prevención y detección de intrusiones de código abierto.

¿Qué permite el análisis forense en correo electrónico?

1. Permite la obtención de determinada información que orienta sobre un ataque

concreto, como pueden ser un robo de información o suplantación de identidad,
y que puede haberse materializado, por ejemplo, mediante la propagación de
malware a través de un correo electrónico.

El analista forense o perito:

Nunca se tendrá que enfrentar a un entorno hostil. El analista forense realizar el análisis
post morten después del incidente luego no se tienen que enfrentar a un entorno en el
que la amenaza está en ejecución que es lo que se podría considerar un entorno hostil.
Realizara un clonado y no utilizara un disco original solo difieren en quien hace el
clonado.
No utilizara el disco original seria la correcta desde el punto de vista de lógica (No
necesariamente desde el forense) porque la otra respuesta son en realidad dos respuestas
en vez de una.
Es decir
El aseguramiento de la escena en un análisis forense:

1. Resulta de suma trascendencia en ciertas actuaciones forenses.

2. Es importante en cualquier actuación forense, ya que se debe preservar la escena tan intacta
como sea posible, desde que el incidente es descubierto hasta su análisis y validación por el
notario o secretario judicial.
3. Es importante en cualquier actuación forense, ya que se debe preservar la escena tan intacta
como sea posible, desde que el incidente es descubierto hasta su análisis y toma de
conclusiones.
4. Puede hacerse y favorece el análisis forense, aunque no es una actividad crucial.

¿Dónde se almacena todo lo que ocurre desde que se arranca un equipo?

1. En el registro de aplicaciones No almacena todo lo que ocurre, almacena todo lo que
se vuelca al servicio de eventos y todo lo que se rigistra por la instrumentación de
Windows, que no es todo.
2. En la memoria RAM. Es volátil se puerde cuando se apaga, se pierde cuando se cierran
las aplicaciones NO PUEDES SER QUE se almacene todo lo que ocurre
3. En el visor de eventos. Esta es la correcta pero no es correcta en la plataforma
4. En la carpeta "Prefetch". NO ES para almacenar todo. Solo almacenas trozos de código
de aplicaciones y algunos datos
Una de las buenas prácticas recomendadas durante el proceso de adquisición es:

1. Fotografiar y/o grabar en vídeo la escena, anotando la posición original de los

equipos, cableado y periféricos.

En relación con el análisis forense en correo electrónico, señala la opción correcta:

1. El auditor podrá estudiar el origen y contenido de un determinado correo

electrónico, para verificar, por ejemplo, quién envió un mensaje, quién lo
recibió, fecha de envío y contenido del mensaje, entre otros extremos.

_______________________________________

Una solución WIPS valida que:

1. Las direcciones MAC de los puntos de acceso inalámbricos de una red hayan sido
previamente autorizadas.

La cadena de custodia:
1. Es un procedimiento que asegura la no alteración o modificación de los elementos
probatorios hasta su presentación en juicio.

A la hora de asegurar la escena en el análisis forense, la desconexión de la red:

1. Podría conllevar pérdida de información; no obstante, podrá ser útil para evitar
la propagación del incidente.

¿Qué se persigue en la fase de erradicación del incidente?

1. Eliminar el origen o causa raíz del ciber incidente, implantando, asimismo,
medidas que impidan que vuelva a repetirse.

¿Son útiles los archivos de log para el analista forense?

1. Sí, pues con ellos se puede tener una trazabilidad de los sucesos ocurridos en el
sistema a raíz de un ciber incidente.

¿En qué consiste el objetivo principal perseguido en un análisis forense de red?

1. En capturar e interceptar datos en tiempo real, para identificar la causa raíz del
problema detectado.

Las fases de gestión de un incidente:

1. Deben sucederse de forma secuencial, de la siguiente forma: preparación, detección,

contención y post incidente.
2. No funcionan de forma estrictamente secuencial; se gestionarán de forma paralela,
dependiendo de la información obtenida en cada momento.
3. Comienzan con la detección y finalizan con la contención, mientras que las demás fases no
son secuenciales.
4. Deben seguir el siguiente orden estricto: identificación, contención, erradicación y post
incidente.
 Conocer el impacto ocasionado por un incidente en la propia organización
resulta de vital importancia para priorizar o determinar la urgencia con la que
se desarrollará el análisis forense posterior. ¿A cuál de las siguientes
dimensiones suelen o deben atender las entidades para definir el nivel de
impacto ocasionado?

1. A ciertas variables, como la integridad de la información alterada, el tiempo y el

nivel de indisponibilidad, la capacidad de propagación del ataque por la
organización y la tipología o categoría de la información comprometida, entre
otras.

¿De qué manera podría el investigador forense obtener una "instantánea en el

tiempo" de lo que el usuario estaba viendo en línea?
Consultado el caché.

Sobre los archivos de registro o archivos de log:

1. De ellos se obtiene información sobre el sistema y sus últimas modificaciones,
lo cual constituye una pieza fundamental y que proporciona al analista forense
importantes evidencias.