Search...

Home Subjects Log in Join

FORENSE .docx

School Course Subject Date Pages

Narotama University * ACCOUNTING SEGURIDAD Arts & Humanities Oct 26, 2023 7
*We aren't endorsed by this school

Uploaded by MateHippopotamusMaster755 on coursehero.com Helpful Unhelpful

Home / Arts & Humanities

DATOS PERSONALES FIRMA

Nombre: JAIME DAVID DNI: 0929165736
Apellidos: TROYA TITO
ESTUDIO ASIGNATURA CONVOCATORIA

MÁSTER UNIVERSITARIO 14132.- INFORMÁTICA

Ordinaria
EN CIBERSEGURIDAD FORENSE Y RESPUESTA
Número periodo 6320
(PLAN 2022) ANTE INCIDENTES

CIUDAD DEL
FECHA MODELO
EXAMEN
07-09/07/2023 Modelo - C ECUADOR - QUEVEDO

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Lee atentamente todas las preguntas antes de empezar.
2. La duración del examen es de 2 horas.
3. Escribe únicamente con bolígrafo azul o negro.
4. No está permitido utilizar más hojas de las que te facilita la UNIR (puedes utilizar
folios para hacerte esquemas u organizarte pero no se adjuntarán al examen).
5. El examen PRESENCIAL supone el 60% de la calificación final de la asignatura. Es
necesario aprobar el examen, para tener en cuenta la evaluación continua, aunque
esta última sí se guardará para la siguiente convocatoria en caso de no aprobar.
6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay en la
parte superior con tus datos personales.
7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su posible
verificación.
8. Apaga el teléfono móvil.
9. Las preguntas se contestarán en CASTELLANO.
10. Si en alguna de las respuestas se detecta un caso de copia de los materiales de la
asignatura, de cualquier otra fuente (por ejemplo, Internet) o de otros compañeros, se
va a calificar el examen con 0 puntos.

Código de examen: 209633

Puntuación
Preguntas tipo test

 Puntuación máxima 2.50 puntos

 Cada pregunta vale 0.25 puntos

Supuestos prácticos

 Puntuación máx ima 7.50 puntos

 Cada pregunta vale 2.50 puntos

Preguntas tipo test

 Las respuestas erróneas NO restan

 Sólamente hay una opción válida en cada pregunta

1. Al realizar una recuperación "en bruto"...

1. No existe ningún tipo de recuperación con esa denominación

 2. Se recuperan los archivos borrados en función del nombre de los mismos
3. Se realiza una búsqueda de firmas de archivos conocidas por todo
Home el espacio del
Log in Join

disco duro
4. Se recuperan los archivos contenidos en la papelera de reciclaje o similares

2. ¿Cuáles son las preguntas a las que debe dar respuesta un análisis forense?
Page 1 of 7
1. ¿Qué se ha alterado?, ¿Dónde se ha alterado? y ¿Por qué se ha alterado?
2. ¿Qué se ha alterado?, ¿Cómo se ha alterado? y ¿Quién ha realizado dicha
alteración?
3. ¿Qué se ha alterado? y ¿Cómo se ha alterado?
4. Ninguna de las anteriores es correcta

3. Los sistemas de Ficheros más comunes según el Sistema Operativo son:

1. NTFS y HFS para Sistemas Operativos Windows

2. HFS+ para Sistemas Operativos Mac OS
3. NTFS+ y ExtHFS para Sistemas Operativos Linux
4. Ninguna de las anteriores es correcta

Código de examen: 209633

4. ¿Qué información sería posible recuperar tras la eliminación de un archivo , el vaciado de la

papelera (o carpeta similar) y la sobrescritura de los datos?

1. En función de la cantidad de información sobrescrita, es posible recuperar una parte

del archivo o no recuperar nada
2. Toda (el archivo eliminado y los datos asociados al mismo)
3. El archivo completo, sin los datos asociados al mismo
4. Únicamente los datos asociados al archivo

5. Con respecto a las evidencias volátiles...

1. Son aquellas cuya información no se modifica facilmente

2. Son aquellas evidencias que se conservan tras el apagado del equipo
3. No se ven alteradas por las acciones de los usuarios
4. Ninguna de las anteriores es correcta

6. Una adquisición física

1. Es aquella en la que toda la información contenida en el disco, salvo el sector de

arranque, se copia exactamente igual de origen a destino
2. Es aquella en la que toda la información contenida en el disco, incluido el sector de
arranque, se copia exactamente igual de origen a destino
3. Es aquella en la que únicamente se copia un volumen o partición concreto del
dispositivo
4. Ninguna de las anteriores es correcta

7. La estructura de particiones en Sistemas Operativos iOS similar a la utilizada en sistemas

Android

1. Verdadero
2. Falso

8. La adquisición mediante Custom Recovery

1. Se basa en modificar la partición de recuperación del dispositivo e instalar en ella

una distribución específica
2. Se basa en modificar la partición de usuario del dispositivo e instalar en ella una
distribución específica
3. Se basa en modificar la partición de sistema del dispositivo e instalar en ella una
distribución específica
4. Ninguna de las anteriores es correcta

9. ¿Qué necesitaremos para adquirir la tarjeta SIM de un terminal?

1. Un lector de tarjetas SIM

2. El software específico de adquisición
3. El PIN y/o PUK de la tarjeta
4. Todas las anteriores son correctas

Código de examen: 209633

10. En los anexos del informe pericial:

1. Se recogerá toda la información que creamos necesario adjuntar como complemento

2. Se recogerá únicamente la información técnica que no se ha incluido en el cuerpo del
informe
3. Se incluirán capturas de pantalla de todo el proceso de análisis realizado
4. Ninguna de las anteriores es correcta
 Home Log in Join

Código de examen: 209633

PLANTILLA DE RESPUESTAS
Preguntas / Opciones 1 2 3 4

1 X

2 X

3 X

4 X

5 X

6 X

7 X

8 X

9 X

10 X
 Home Log in Join
Código de examen: 209633

Supuestos prácticos

1. En los apuntes se describen una serie de factores importantes a la hora de decantarnos por
una adquisición en "caliente" o en "frío". Atendiendo a los mismos, así como también a la
manera descrita para proceder durante una adquisición, responda a las siguientes cuestiones
para el escenario planteado: ¿Qué tipo de adquisición realizaría?, ¿Por qué ese tipo de
adquisición? y ¿Qué pasos seguiría para realizar la adquisición?

ESCENARIO:
Se encuentra usted en la zona de administración de una fábrica de vehículos y es necesaria la
adquisición de toda la información relativa a la contabilidad del último año. El administrador le
comenta que hay 3 equipos que actúan como terminales de acceso a un servidor remoto que
es donde realmente se almacena la información. En ninguno de los equipos, ni en el servidor,
se cifra la información y tampoco es posible apagar ninguno de ellos. (Responder en 1 caras)

¿Qué tipo de adquisición realizaría?

La adquisición a realizar seria en caliente

¿Por qué ese tipo de adquisición?

Como indica el enunciado que ninguno de los equipos, ni en el servidor es posible apagar
ninguno, nos indica que tenemos que obtener la información en caliente ya que no podemos
apagar.

¿Qué pasos seguiría para realizar la adquisición?

La adquisición se debe realizar en el servidor ya que es donde se almacena la información a

las computadoras se podría realizar en caliente a la RAM o en red para verificar la
comunicación con el servidor.

1) Tenemos que tener un pendrive con él un programa FKT Imanager para realizar la
adquisición que se ejecute desde el pendrive para evitar alterar la información volátil lo
menos posible.
2) Asegurar que los puertos estén en modo escritura o utilizar un dispositivo que nos ayude
a que solo el pendrive este en solo lectura.
a. También se puede poner por medio de comandos el modo contra escritura, pero
es más recomendable utilizar un objeto físico que nos ayude a esto.
b. Si lo queremos realizar en un equipo que tenga Windows vamos al editor Registro
HKEY_LOCAL_MACHINE/SYSTEM/CONTROL y creamos una carpeta
StorageDevicePolicies dentro creamos un archivo con el nombre WriteProtect
donde le pondremos el valor de 1.
3) Como en el servidor debe haber mucha información debemos escoger la carpeta o el
aglomerado que me permita extraer "adquisición de toda la información relativa a la
contabilidad del último año", para no llevar tanta información.
4) Se procede a formatear el pendrive para que este vacío para la nueva información que
se va a almacenar.

Código de examen: 209633

5) Abrimos el programa y nos dirigimos a créate disk image y la opcion Physical Drive y
escogemos la información que quememos o disco si queremos almacenar todo.
6) Escogemos recalcular el proceso y agregamos la actividad donde se nos desplegar otra
pantalla Raw.
7) Llenamos la información de acuerdo a la evidencia yo le pondría "contabilidad del último
año"
8) Escogemos donde se guarde la información recordar que el pendrive tiene que se nuevo
o formateado.
9) De hay nos especificara el tiempo que demora la ejecución de proceso
10)Una ventana cuando termine el proceso nos indicara el HAS para la información
guardada.

2. ¿Qué es una eSIM? ¿Qué información podemos encontrar en una eSIM? (Responder en 1
caras)
Es una evolución de la tarjeta SIN que integra el chip de estas en el propio Hardware del
dispositivo, de esta forma se elimina la necesidad de introducir físicamente la tarjeta o de
cambiar por una nueva cuando cambiamos de operador
Una eSIM no puede ser adquirida como tal ya que no almacena información como la que
podemos llegar a obtener de una tarjeta SIM clásica, si no que únicamente mantiene el ICCID
que la identifica.

3. ¿Qué información se recopilará en el "informe de situación"? (Responder en 1 caras)

En respuesta a incidentes es muy importante el orden y para ello se debe preparar un informe
de situación, este informe recopila todos los datos relevantes de la investigación hasta el
momento esta información será:
Lista de evidencia: con fecha y hora de recolección y asegurar la cadena de custodia.
Lista de sistema afectados: señalando cuando fue identificado
Lista de archivos de interés: no solo malware, sino cualquier tipo de archivo que hayamos
utilizado en la investigación
 Lista de datos accedidos y robados: indica fecha de posibles exposiciones.
Lista de actividad del atacante: si hemos encontrado acciones realizadas Home
por el atacante Log
como
in Join
logeos, ejecución de malware, etc.
Lista de IOCs de red: como direcciones ip y nombres de dominio
Lista de cuentas comprometidas: tanto locales como de dominio.
Lista de tareas de recursos pendientes: tanto del equipo propio como equipos auxiliares.

Código de examen: 209633

Uploaded by MateHippopotamusMaster755 on coursehero.com

VALERIA MARTINEZ - IA Act6Tratamientos Administración de controles

Planning Guide de cambio S1 - Notas

ESTIMULACION COGNITIVA His Girl Friday (1940) by Ejerciciosfunciones

4Y5 Tillman Giannella (4)

01-Music 140-Lecture Proyecto Educativo 2 del JesusRevolution-Resources-

Overheads-Lecture 1 curso Devotionals

ACTIVIDAD 4 Normalizacion CASO PRÁCTICO - BORRADOR LEY 19300

SUPERVISION DE VTAS - Lab
2

SUBJECTS

Accounting Aerospace Engineering

Anatomy Anthropology

Arts & Humanities Astronomy

Biology Business

Chemistry Civil Engineering

Computer Science Communications

Economics Electrical Engineering

English Finance

Geography Geology

Health Science History

Industrial Engineering Information Systems

Law Linguistics

Management Marketing

Material Science Mathematics

Mechanical Engineering Medicine

Nursing Philosophy

Physics Political Science

Psychology Religion

Sociology Statistics

LEGAL COMPANY
Copyright, Community Guidelines, DSA & other Legal Resources Documents Sitemap

Honor Code Study Guides

Terms FAQ

Academic Integrity

Cookie Policy

Privacy Policy

Do not Sell or Share My Personal Info

CONNECT WITH US

Facebook

Instagram

YouTube

Twitter

© Learneo, Inc. 2024 Course Sidekick is not sponsored or endorsed by any college or university.