UT3 FORENSE

¿Para qué usa Windows las shellbags?. Windows crea shellbags para guardar un historial de las carpetas por las cuales se han navegado de manera que los usuarios puedan leer fácilmente su historia. Windows usa shellbags como una manera de guardar rutas en el registro, como un backup del sistema de archivos. Windows almacena la información en shellbags para guardar las preferencias de visualización de cada usuario.

Para una carpeta en la que un usuario ha creado y nombrado, ¿Como se almacenará ese nombre en el registro, y como se verá dicho nombre en Registry Explorer?. Unicode. ASCII. Hexadecimal. El nombre de la carpeta no se almacenará en el registro.

¿Cuál es el nombre de la clave de registro que contiene los artefactos shellbags para Windows 7 en adelante?. Shell. ShellNoRoam. StreamMRU. Todas las de arriba.

¿Cómo se almacenan los artefactos en el registro? Por ejemplo, el valor de los números asociados con una lista de carpetas en el registro numerados de 0 a 10. Numerados con 0 siendo el más recientemente accedido/interaccionado y siendo 10 el más antiguo. Numerados con un 0 el primero accedido/interaccionado y siendo 10 el más nuevo con el que se ha interaccionado en esa carpeta. Numerado en orden alfabético, asociando un 0 al primero en orden alfabético y un 10 al último por orden alfabético.

Bajo qué circunstancias los artefactos shellbag se almacenan o actualizan para una carpeta. Crear una carpeta, abrirla y añadir fotos. Cambiar las preferencias de visualización de una carpeta existente. Crear una carpeta, pero no abrirla. A, B, y C son ciertas. A y B son ciertas.

¿Qué es el valor de NodeSlot?. Un valor correlacionado con las subclaves de entrada en Bag para una carpeta. Define el número de subcarpetas dentro de las carpetas. Un valor que está correlacionado con la carpeta padre. Define el número de veces que un usuario ha accedido a una carpeta. FALTA POR PONER RESPUESTA.

Cuando existe el archivo $R y el archivo $I en la papelera de reciclaje significa que: El archivo original sigue en la papelera. El archivo ha sido eliminado de la papelera. El archivo ha sido recuperado de la papelera. El archivo ha sido recuperado por el administrador.

¿Un artefacto puede ser constituido como evidencia para una prueba?. Si, ya que son diferentes elementos del sistema que pueden determinar la actividad de un usuario. No, ya que no se guarda un registro completo sino parcial de la información. Si, ya que podemos observar las contraseñas y otras credenciales de usuario. No, ya que pueden ser alterados e invalidar la evidencia.

Cuando existe el archivo $R en la papelera, pero el $I no, significa que: El archivo original ha sido recuperado y el archivo $i eliminado por el sistema. El archivo original se ha borrado completamente. El archivo original ha sido recuperado. Ninguna de las anteriores.

Cual de las siguientes es una clave raíz. HKEY_LOCAL_MACHINE (HKLM). HKEY_LOCAL_GAME(HKLG). HKEY_USERS_MACHINE(HKU). HKEY_DNI_DAT(HDD).

Cual de las siguientes es una herramienta para analizar el registro: Registry lister. Yet Another Explorer. RegRipper. sampeidump.

En ocasiones las aplicaciones de inicio son utilizadas para: Lanzar shellbags. Mantener persistencia por parte del atacante. Limpiar los registros del sistema. Actualizar la BIOS.

El archivo NTUSER.DAT contiene una clave con. La clave de Windows. El registro de Usuarios. Documentos recientemente abiertos. Las últimas búsquedas del navegador.

El cifrado con Rot13 se basa en. El cálculo del hash de un fichero. El algoritmo SHA-256. Un algoritmo muy difícil de descifrar y con pocas herramientas. Rotar cada carácter 13 posiciones en el alfabeto.

¿Qué es un artefacto?. Son los diferentes elementos del sistema que pueden determinar la actividad de un malware o de un usuario malicioso. Elemento de almacenamiento de datos en forma magnética u óptica, constituido por una lámina delgada con forma circular. Una herramienta gráfica que le permite ver y supervisar el registro del sistema operativo de Windows y editarlo si es necesario. Dispositivo para llevar a cabo la conexión de dispositivos de almacenamiento masivo de datos, así como de unidades de discos ópticos.

¿Cúal NO es un ejemplo de artefacto?. Hives del registro. Volume Shadow Copies. Jump Lists. Brave.

¿Qué es el registro?. Lenguaje diseñado para administrar, y recuperar información de sistemas de gestión de bases de datos relacionales.​. Administrador de archivos oficial del sistema operativo Microsoft Windows. Una base de datos jerárquica que contiene el conjunto de configuraciones del sistema. Parte de la interfaz gráfica del sistema Microsoft Windows, la cual permite a los usuarios ver ajustes y controles básicos del sistema.

¿Qué información contienen los registros?. Perfiles de los usuarios. Aplicaciones instaladas en el equipo. Tipos de documentos con los que trabaja cada aplicación. Todas las anteriores.

El registro es una alternativa a los ficheros…. .INI. .LNK. .sql. .ps1.

Cuáles de estos son interfaces de discos duros. Cable SATA, cable IDE y fibra. Cable HDMI, cable SATA e cable IDE. Cable VGA, cable IDE y fibra. Cable SATA, fibra y cable VGA.

Qué afirmación es cierta sobre MBR. No está presente en los sistemas con BIOS. Puede tener una tabla de particiones con hasta 5 primarias. Se ocupa del arranque del sistema operativo. Se aloja en el último sector del disco.

Qué afirmación es cierta sobre GPT. Está presente en sistemas sin EFI. Tiene menos mecanismos de seguridad que MBR. Almacena una tabla de particiones con hasta 256 particiones primarias. Mantiene un pequeño MBR inútil al principio del disco por seguridad.

Cual es cierto sobre slack space. El sector es el espació físico mínimo y el clúster el lógico mínimo. El sector es el espació lógico mínimo y el clúster el físico mínimo. El sector es el espació físico máximo y el clúster el lógico máximo. El sector es el espació lógico mínimo y el clúster el físico mínimo.

Quién creó el sistema FAT. Linux. Mac OS. Microsoft. Acer.

En Windows Vista se almacenaba un ___ del total de la cuota de usuarios. 25%. 10%. 20%. 15%.

El directorio real donde se almacenan los archivos de la papelera de reciclaje es siempre el mismo independientemente de su partición. Verdadero. Falso.

Contienen los metadatos los archivos que empiezan por. $R. $P. $I. $Z.

Es una carpeta introducida en Windows XP que guarda información sobre las aplicaciones para acelerar su arranque. Preftch. Prifetch. Prifitch. Prefetch.

En los emails su cuerpo se almacena en formato: TXT o WPS. DOC o HTML. ODT o TXT. TXT o HTML.

¿Cuáles son herramientas para analizar registros?. Windows Registry Recovery, Registry Viewer y Registry explorer. Excel, Word y Adobe Acrobat. WWD, Jumplist y Bloc de notas. Avast, Malwarebytes y Panda security.

¿Cómo podemos saber que tipo de archivos componen el registro de Windows?. Preguntando a un amigo informático. Buscando en internet. Entrando en el archivo para ver como se abre. Mediante las extensiones de los archivos de la carpeta.

¿Ha cambiado de formato el EVTX Log en Windows 10?. Si. No. Puede ser. Y yo que se.

¿Cuál es la ruta de EVTX Log?. \Windows\System32\Logs\. \Windows\System32\Microsoft\winevt\Logs\. \Windows\System32\winevt\Logs\. \Windows\winevt\Logs\.

¿En qué ruta se encuentran los archivos auxiliares Security?. HKEY_LOCAL_MACHINE. HKEY_CURRENT_CONFIG. HKEY_USERS. HKEY_USERS\SECURITY.

¿Cuál de las siguientes es una herramienta de análisis de logs?. MyEventViewer. FTK Imager. Arsenal Image Mounter. RBcmd.

¿Cuál de los siguientes son sistemas de particiones?. MBR y GPT. MBR y FAT. FAT y NFTS. GPT y FAT.

¿Qué hay que conocer para analizar ficheros a bajo nivel?. Memoria RAM, archivos de log y Prefetch. Discos duros, particiones, sistema de ficheros y slack space. Archivos de log, slack space y particiones. Sistema de ficheros, particiones, slack space y memoria RAM.

En los dispositivos de almacenamiento HDD, ¿Qué relación existe entre un sector y un cluster?. Un cluster es lo mismo que un sector. Un sector está formado por varios clústeres. Un clúster es un grupo de sectores. Un sector y un cluster forman una pista.

¿Qué es un dispositivo SSD?. Super Secure Device. Solid State Device. Solid State Drive. Super Solid Drive.

OneDrive app permite a los programas almacenar sus archivos en OneDrive. Verdadero. Falso.

¿Para qué sirve el Prefetch?. Para que las aplicaciones no se cierren completamente y queden en segundo plano. Para arrancar las aplicaciones más rápidamente. Para que las aplicaciones ocupen menos espacio en el disco. Para establecer la configuración de las aplicaciones.

¿Qué mejora la técnica SuperFetch?. Ayuda a la tarjeta gráfica a manejar más polígonos y que las aplicaciones funcionen con mayor fluidez. Comprime las aplicaciones, almacenando los datos comunes en una carpeta para que no ocupen tanto espacio en el disco. Ayuda a mejorar la conectividad en las aplicaciones que utilizan conexiones con servidores para proporcionar sus servicios. Es una función que decide qué aplicación o programa se ejecuta para cargar todos los archivos y datos asociados en la memoria.

¿Cuáles son las tablas relevantes de la base de datos de la app de Twitter?. Messages, search_queries, statuses y users. Messages, likes, comments, retweets. Messages, users, statuses, likes y dislike. User_data, follower_data y reaction_data.

¿Qué información almacenan los archivos log?. Información sobre eventos del sistema. Información sobre unidades hotfixes. Ficheros pertenecientes a Windows Resource Protection no reparados. Todas son correctas.

¿Los archivos .log se pueden analizar con la herramienta PECmd de Eric Zimmerman?. Verdadero. Falso.

¿Es FAT32 más seguro que NTFS?. Verdadero. Falso.

¿A qué sistema de ficheros reemplazó el NTFS?. ExFAT. FAT32. UFS1. UFS2.

¿En qué directorio se pueden encontrar los archivos .LNK?. C:\ProgramData\Microsoft\Windows\Start Menu\Programs. C:\Users\”Usuario”\AppData\Local\Microsoft\Windows\Explorer. C:\Users\”Usuario”\AppData\Roaming\Microsoft\Windows\Start Menu. C:\Users\”Usuario”\AppData\LocalLow\Microsoft\Windows.

¿El root directory se usa en:?. UFS1. FAT32. ExFAT. FAT12/16.

¿Qué información podemos encontrar en los archivos .lnk?. Hostname. Dirección MAC. Volume ID. Todas las anteriores.

¿Cuál de las siguientes herramientas no sirven para analizar LNK Shortcuts?. Link Parser. LECmd. X-Ways Forensics. FAW.

Las Windows Indexing Service son evidencias muy importantes porque. Potencialmente almacena emails y otros ítems binarios. Crea un registro de shellbags que se pueden analizar. Permite analizar una imagen de la memoria. Dejan un rastro de qué han explotado para realizar el ataque.

Windows Indexing Service se guarda en un fichero. .vstm. .xps. .edb. .vdx.

Las LocationTriggers de Cortana son unas tablas que. Dan resultados de latitud/longitud de recordatorios basados en localizaciones que se van desencadenando. Muestran creación y tiempo en el que se completa. Dan Resultados con nombre de lugar y latitud/longitud. Muestran creación de latitud/longitud basado en solicitudes realizadas.

Cual de los siguientes archivos pertenecen a las Bases de datos de cortana. CortanaCoreDb.dat.edb. IndexableDB.edb. CoreService.edb. FileIndex.edb.