Make your own quiz Manage my Quizzes Plans / Features Guides and Help Contact Privacy & Security

Forense

Create a detailed and educational illustration depicting a digital forensic analysis scene, featuring a computer, various forensic tools, and a person working intently, surrounded by data streams and security images.

Forense: Prueba tus Conocimientos

¿Eres un experto en análisis forense digital? Pon a prueba tus habilidades con nuestro emocionante cuestionario de 59 preguntas que desafían tus conocimientos en este campo crucial. Desde la recolección de evidencia hasta el análisis de sistemas, ¡este quiz es tu oportunidad para demostrar lo que sabes!

59 preguntas variadas
Retos en técnicas forenses
Ideal para profesionales y estudiantes

59 Questions15 MinutesCreated by AnalyzingByte327

La responsabilidad profesional de un perito informático se basa en ..

Comparecer en juicio o vista cuando sea requerido judicialmente para ello.

Reparar el daño a la sociedad.

Cumplir el código deontológico o el procedimiento disciplinario Colegial

Reparar el daño a un particular

¿Cual de las siguientes opciones sería la más adecuada para preservar la integridad de una evidencia?

MD4

SHA256

MD5

SHA1

Señala la afirmación correcta.

Los términos "slack space" y "unallocated space" hacen referencia al mismo concepto

Solo puede existir "slack space" en los sistemas de ficheros FAT

Solo puede existir "unallocated space" en los sistemas de ficheros NTFS

Ninguna de las anteriores

Un "orphan file" ...

Es un fichero que se encuentra en la papelera de reciclaje.

es un tipo de fichero que solo está disponible en los sistemas de archivos FAT.

Es un fichero del cual no se tiene información de su carpeta padre.

Es un tipo de fichero que solo está disponible en los sistemas de archivos NTFS

El "file carving" consiste en recuperar un fichero a partir de una cantidad de datos en bruto de la cual no se conoce su formato, ...

Basándose en las cabeceras de los ficheros y el tamaño máximo de archivo

Basándose en la estructura de los ficheros (cabecera, pie, cadenas significativas, etc.).

basándose en el contenido de los ficheros: entropía, reconocimiento del lenguaje, etc.

Todas las anteriores

Los Prefetch de Windows ...

comenzaron a implementarse en Windows 10.

Almacenan una miniatura de las imáganes del sistema

Tienen la extensión " .prf ".

Facilitan que el inicio del sistema sea más rápido

¿Cuales de las siguientes tareas se pueden realizar a partir de un volcado de memoria utilizando la herramienta Volatility?

Visualizar las variables de entorno del sistema.

Volcar secretos LSA.

Visualizar secciones del Registro de Windows.

Todas las anteriores

La herramienta Plaso ...

Está implementada en C++.

Es especialmente interesante en caso de tener que analizar una evidencia cuyo sistema operativo sea Mac OSX

Se utiliza para el análisis de volcados de memoria

No se utiliza en el ámbito forense

¿Cual de las siguientes distribuciones no está especializada en el ámbito forense?

Santoku

Fuchsia

SIFT Workstation

Caine

¿Cuál de los siguientes modos no es un modo de recoleccion de evidencias?

Equipo modo live

Equipo modo dead

Equipo modo silencioso

Virtualización

¿Cúal de las siguientes funciones HASH se considera más apropiada a la hora de identificar una evidencia?

MD5

SHA256

SHA1

MD4

¿Cuál de las siguientes herramientas te permite recuperar el hash SHA256 de una evidencia?

Sha256sum

Get-FileHash

Certutil

Todas las anteriores

Con el fin de preservar una evidencia intacta se realiza lo siguiente:

1. Nos dirigimos a “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control”.
2. Se crea una nueva clave de registro llamada "StorageDevicePolicies" y en en ella se crea una nueva DWORD llamada "WriteProtect" y se le introduce el valor 0.
3. Se introduce el dispositivo USB y se elimina un archivo dentro de él.

¿Habrá cambiado el hash de la evidencia tras estos pasos?

No, al introducir la DWORD "WriteProtect" con valor igual a 0 estamos indicando que el dispositivo está en modo sólo lectura por lo que no ha sido posible eliminar ese archivo y la evidencia sigue intacta

Si, el archivo se elimina con éxito y el hash cambiará por completo

No, al introducir al introducir la DWORD "WriteProtect" con valor igual a 0 estamos indicando que el USB no se pueda montar por lo que no es posible acceder a su contenido

Ninguna de las anteriores

¿Cuál de los siguientes se consideran "Registry Hives" importantes?

\Windows\System32\config\USERS

\Windows\System32\config\SAM

\Windows\System32\config\LOGS

Todos los anteriores

¿Cuál de los siguientes comandos de Volatility no se puede utilizar para obtener la lista de procesos de la imagen?

Pstree

Psget

Pslist

Psscan

¿Dónde se encuentra el fichero SAM dentro de un sistema Windows?

C:\Windows\System\config\

C:\Windows\Security\config\

C:\Windows\System\config\Users\

C:\Users\config\

¿Cuáles son las siglas de los timestamps del sistema de ficheros MACE?

Modificado, Acceso, Cambio, Creación

Modificado, Accedido, Creado, Entry modified

Todas las opciones son válidas

Ninguna opción es válida

¿Cuál de los siguientes módulos de Autopsy nos permite obtener información EXIF de los ficheros?

Picture Analyzer

PhotoRec Carver.

Recent Activity

Embedded File Extractor

¿Cuál de las siguientes tareas no es una tarea previa a la adquisición de un dispositivo iOS?

Desactivar el auto-bloqueo de pantalla

Activar el modo avión

Eliminar los datos del teléfono mediante la aplicación Find My iPhone. *esto ta mal, precisamente se evita eso con el modo avión xd

Retirar la tarjeta SIM del dispositivo

¿Cuál es la utilidad de las Shellbags en el análisis forense de Windows?

Guardan información sobre los sitios web visitados

Permiten conocer si se abrió una carpeta, y en qué momento

Almacenan información sobre las modificaciones de los ficheros

Contienen archivos que aparentemente se han borrado del sistema

¿Qué ocurre al realizar una imagen de un disco cifrado?

El disco se copia en texto plano

El disco se copia cifrado, y no es posible descifrarlo aun conociendo la clave

El disco se copia cifrado, y se puede descifrar conociendo la clave

El disco se copia cifrado. Dependiendo de si se trata de un disco cifrado por Windows o Mac, será posible o no descifrarlo

¿Cuál de estas herramientas NO se considera como un clonador de disco?

FTK Imager

Cellebrite UFED

Volatility

¿Qué extensión es habitual encontrar en los artefactos de MAC OSX?

.plist

.asl

.db

Todas las anteriores

¿Qué exploit permite realizar un jailbreak sobre un dispositivo iOS?

Checkm8

Pwnkit

BlueBorne

WannaCry

¿Qué timestamps sobre los ficheros se almacenan en la MFT?

Creado, modificado, desplazado de carpeta

Borrado, acceso, modificado, creació

Modificado, acceso, cambio, creación

Creación, borrado, modificado

¿Cuándo aparece Slack Space en un disco?

Cuando un sector no se llena por completo

Cuando quedan sectores sin llenar dentro de un clúster

Cuando un fichero ocupa exactamente un clúster

“a)” y “b)” son correctas

¿Qué significa “BFU” en el análisis forense de dispositivos iOS?

Boot Firmware Upgrade

Binary Form Unicode

Before First Unlock

Ninguna de las anteriores

¿Cómo se almacena el contenido de la papelera de reciclaje en Windows?

Un fichero contiene su ruta y otros metadatos, mientras otro guarda el contenido del archivo.

Tanto los metadatos como el contenido se guardan en un mismo fichero.

El contenido se mantiene, pero los metadatos (como su ruta) se borran.

En caso de ficheros grandes, se fragmenta el contenido en múltiples ficheros. Los metadatos se incluyen en el primero.

¿Cuál de las siguientes NO es una versión reciente de MAC OS X?

Monterrey

Big Sur

Catalina

Beaver

A la hora de recopilar las evidencias, según la RFC 3227, lo primero a recopilar es:

Contenidos de la memoria

Estado de los procesos en ejecución

Registros y contenidos de la caché

Estado de las conexiones de red, tablas de rutas

Las shellbags de windows son:

Lugar donde el almacena información relacionada con las preferencias de visualización de contenidos de windows explorer

Artefacto de windows que precarga información de los programas ejecutados

Contiene información que Windows utiliza como referencia continuamente, como por ejemplo los perfiles de usuarios

Ninguna de las anteriores es correcta

Un superFetch

Es el equivalente a los prefetch pero en las versiones nuevas de windows

Es una mejora que guarda más información y sustituye a los prefetch

Es una mejora que guarda más información pero no sustituye a los prefetch

Ninguna de las anteriores es correcta

La clave de registro de windows HKEY_LOCAL_MACHINE

Contiene información de configuración específica del equipo (para cualquier usuario)

Contiene información de configuración específica del equipo (para el usuario actual)

Contiene todos los perfiles de usuario cargados activamente en el equipo

Contiene la raíz de la información de configuración del usuario que ha iniciado sesión

El slack space

Es el espacio de disco ocupado por los ficheros

Es el espacio de disco que nunca ha sido utilizado

Es el espacio entre sectores que queda libre cuando eliminamos un fichero de un disco y añadimos otro que ocupa menos espacio

Es un espacio que solamente queda disponible es los discos duros SSD

En la papelera de reciclaje de windows...

Se almacenan dos tipos de archivos. Los que comienzan por $I contiene la ruta original del archivo y algunos datos propios del fichero, mientras que los que empiezan por $R tienen en el interior el contenido del archivo original

Se almacenan dos tipos de archivos. Los que comienzan por $R contiene la ruta original del archivo y algunos datos propios del fichero, mientras que los que empiezan por $I tienen en el interior el contenido del archivo original

Se almacena un archivo, que contiene toda la información del fichero.

Tanto A como B son correctas ya que depende de la versión de windows

Un prefetch con una firma MAM

Nos indica que pertenece a un windows 10 o superior

Nos indica que pertenece a un windows 8 o superior

Nos indica que pertenece a un windows 7 o superior

Nos indica que pertenece a un sistema linux

En la MFT, cuando se renombra un archivo

Cambia el FileName

Se actualiza la timestamp A de la SIA

Se actualiza la timestamp M de la SIA

Se actualiza la timestamp C de la SIA

En MACOS

Los archivos .DS_STORE son ficheros ocultos que guardan información sobre la carpeta

Los archivos .DS_STORE se actualizan periódicamente

Los archivos .dmg son instaladores

Todas las anteriores son correctas

El artefacto spotlight de MACOS

Es donde se almacenan las contraseñas

Es el sistema de apple que indexa la información

Contiene únicamente la lista de procesos en ejecución

Contiene únicamente información de los dispositivos Bluetooth

Si quiero sacar información EXIF de una imagen en autopsy, debería usar el ingest module

Embedded File Extractor

Recent activity

Picture Analyzer

PhotoRec Carver

En un análisis forense, el orden a seguir al tratar con una evidencia es:

Identificación, preservación, análisis y presentación

Preservación, identificación, análisis y presentación

Análisis, identificación, presentación y preservación

Ninguna de las anteriores

¿Cuál de estas herramientas puede ser utilizada para extraer información de un volcado de memoria?

FTK Imager

Autopsy

Volatility

EXIF Tool

¿Cuáles de las siguientes funciones están presentes en “dc3dd” pero no en “dd”?

Cálculo del hash al vuelo

Uso de logs

Las dos anteriores son correctas

Ninguna es correcta

¿A qué corresponden las siglas MFT en referencia al sistema de ficheros NTFS?

Master File Table

Multi File Transfer

Moderate Frequency Transfers

Managed File Transfer

¿Cuál de los siguientes no es un sistema de ficheros propio de Mac OS X?

APFS

HFS+

NTFS

Todos los anteriores son propios de Mac OS X

¿Para qué sirve el módulo de Autopsy “PhotoRec Carver”?

Busca archivos (de cualquier tipo) en el espacio sin asignar en la fuente de datos

Busca imágenes en el espacio sin asignar en la fuente de datos

Busca metadatos EXIF en las imágenes de la fuente de datos

Busca imágenes conocidas (cuyo hash es “famoso”) en la fuente de datos

¿Cuáles de las siguientes tareas son recomendables antes de realizar una extracción a un dispositivo iOS?

Establecer el retraso del bloqueo de pantalla por inactividad a “Nunca”.

Activar el modo avión en el dispositivo.

Ambas son correctas.

Ninguna es correcta.

¿Es posible realizar una clonación parcial de un medio de almacenamiento utilizando dd?

No, no es posible

Sí, a través del parámetro “count”.

No, para esto se requiere dc3dd.

Solamente si el medio es mayor a 1.048.576 bloques

En caso de que no se sepa cuál es la zona horaria correspondiente a una fuente de datos (por ejemplo, en Autopsy), ¿cuál sería la mejor opción?

Establecer una zona horaria al azar

Utilizar la zona horaria del lugar en el que nos encontramos.

Utilizar GMT+0/UTC.

Ninguna es correcta.

¿Cuáles de las siguientes afirmaciones son verdaderas en referencia al “thumbcache” de Windows?

Es una base de datos de miniaturas de imágenes.

Es usado por el explorador de archivos, para no tener que regenerar siempre las miniaturas

Puede servir para recuperar imágenes que han sido borradas completamente del disco (sobreescritas con ceros).

Todas son verdaderas.

¿Qué tienen en común “foremost”, “scalpel” y “X-Way Forensics”?

Todas son utilidades para analizar volcados de memoria.

Todas son utilidades para analizar clonados de disco.

Todas son utilidades para realizar clonados de disco.

Todas son utilidades para hacer “file carving”.

¿A quien o quienes se les denomina como los pioneros de la informática forense?

Brian Carrier

Dan Farmer y Wietse Venema (Forensics Toolkit).

Chema Alonso.

Ninguno de los anteriores.

¿Qué tipos de casos nos podemos encontrar en la informática forense?

Pericial

Incident response.

Competencia desleal

Todas son correctas.

¿Cual de las siguientes sintaxis del comando DD (clonación) es incorrecta?

Dd if=/dev/sda of=/dev/sdb bs=1M

Dd -i /dev/sda -o /dev/sdb

Dd if=/dev/sda of=/dev/sdb bs=100M count=100

Dd if=/dev/sda3 of=/dev/sdb3 bs=4096 conv=notrunc,noerror

¿Cual es la principal desventaja de las clonadoras de discos hardware?

Coste

Velocidad

Sencillez

Ninguna de las anteriores.

Ante discos cifrados empleando herramientas como Bitlocker o TrueCrypt, se ha visto que la clonación es posible pero, ¿que es necesario para su análisis?

Nada, una vez realizado el clonado la información es totalmente legible.

La clave de cifrado.

La versión del software de cifrado utilizado.

Ninguna de las anteriores.

¿Cuál de los siguientes algoritmos de reducción criptográfica está desaconsejado su uso en la actualidad?

SHA256

SHA512

MD5

BLAKE3

De las siguientes herramientas software, ¿cuál de ellas tiene como finalidad la extracción de metadatos de un archivo?

DC3DD

Squid

Lavasoft

EXIF Tools

{"name":"Forense", "url":"https://www.quiz-maker.com/QPREVIEW","txt":"¿Eres un experto en análisis forense digital? Pon a prueba tus habilidades con nuestro emocionante cuestionario de 59 preguntas que desafían tus conocimientos en este campo crucial. Desde la recolección de evidencia hasta el análisis de sistemas, ¡este quiz es tu oportunidad para demostrar lo que sabes!59 preguntas variadasRetos en técnicas forensesIdeal para profesionales y estudiantes","img":"https:/images/course6.png"}