Forense
Forense: Prueba tus Conocimientos
¿Eres un experto en análisis forense digital? Pon a prueba tus habilidades con nuestro emocionante cuestionario de 59 preguntas que desafían tus conocimientos en este campo crucial. Desde la recolección de evidencia hasta el análisis de sistemas, ¡este quiz es tu oportunidad para demostrar lo que sabes!
- 59 preguntas variadas
- Retos en técnicas forenses
- Ideal para profesionales y estudiantes
La responsabilidad profesional de un perito informático se basa en ..
Comparecer en juicio o vista cuando sea requerido judicialmente para ello.
Reparar el daño a la sociedad.
Cumplir el código deontológico o el procedimiento disciplinario Colegial
Reparar el daño a un particular
¿Cual de las siguientes opciones sería la más adecuada para preservar la integridad de una evidencia?
MD4
SHA256
MD5
SHA1
Señala la afirmación correcta.
Los términos "slack space" y "unallocated space" hacen referencia al mismo concepto
Solo puede existir "slack space" en los sistemas de ficheros FAT
Solo puede existir "unallocated space" en los sistemas de ficheros NTFS
Ninguna de las anteriores
Un "orphan file" ...
Es un fichero que se encuentra en la papelera de reciclaje.
es un tipo de fichero que solo está disponible en los sistemas de archivos FAT.
Es un fichero del cual no se tiene información de su carpeta padre.
Es un tipo de fichero que solo está disponible en los sistemas de archivos NTFS
El "file carving" consiste en recuperar un fichero a partir de una cantidad de datos en bruto de la cual no se conoce su formato, ...
Basándose en las cabeceras de los ficheros y el tamaño máximo de archivo
Basándose en la estructura de los ficheros (cabecera, pie, cadenas significativas, etc.).
basándose en el contenido de los ficheros: entropía, reconocimiento del lenguaje, etc.
Todas las anteriores
Los Prefetch de Windows ...
comenzaron a implementarse en Windows 10.
Almacenan una miniatura de las imáganes del sistema
Tienen la extensión " .prf ".
Facilitan que el inicio del sistema sea más rápido
¿Cuales de las siguientes tareas se pueden realizar a partir de un volcado de memoria utilizando la herramienta Volatility?
Visualizar las variables de entorno del sistema.
Volcar secretos LSA.
Visualizar secciones del Registro de Windows.
Todas las anteriores
La herramienta Plaso ...
Está implementada en C++.
Es especialmente interesante en caso de tener que analizar una evidencia cuyo sistema operativo sea Mac OSX
Se utiliza para el análisis de volcados de memoria
No se utiliza en el ámbito forense
¿Cual de las siguientes distribuciones no está especializada en el ámbito forense?
Santoku
Fuchsia
SIFT Workstation
Caine
¿Cuál de los siguientes modos no es un modo de recoleccion de evidencias?
Equipo modo live
Equipo modo dead
Equipo modo silencioso
Virtualización
¿Cúal de las siguientes funciones HASH se considera más apropiada a la hora de identificar una evidencia?
MD5
SHA256
SHA1
MD4
¿Cuál de las siguientes herramientas te permite recuperar el hash SHA256 de una evidencia?
Sha256sum
Get-FileHash
Certutil
Todas las anteriores
Con el fin de preservar una evidencia intacta se realiza lo siguiente:
1. Nos dirigimos a “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control”.
2. Se crea una nueva clave de registro llamada "StorageDevicePolicies" y en en ella se crea una nueva DWORD llamada "WriteProtect" y se le introduce el valor 0.
3. Se introduce el dispositivo USB y se elimina un archivo dentro de él.
¿Habrá cambiado el hash de la evidencia tras estos pasos?
2. Se crea una nueva clave de registro llamada "StorageDevicePolicies" y en en ella se crea una nueva DWORD llamada "WriteProtect" y se le introduce el valor 0.
3. Se introduce el dispositivo USB y se elimina un archivo dentro de él.
¿Habrá cambiado el hash de la evidencia tras estos pasos?
No, al introducir la DWORD "WriteProtect" con valor igual a 0 estamos indicando que el dispositivo está en modo sólo lectura por lo que no ha sido posible eliminar ese archivo y la evidencia sigue intacta
Si, el archivo se elimina con éxito y el hash cambiará por completo
No, al introducir al introducir la DWORD "WriteProtect" con valor igual a 0 estamos indicando que el USB no se pueda montar por lo que no es posible acceder a su contenido
Ninguna de las anteriores
¿Cuál de los siguientes se consideran "Registry Hives" importantes?
\Windows\System32\config\USERS
\Windows\System32\config\SAM
\Windows\System32\config\LOGS
Todos los anteriores
¿Cuál de los siguientes comandos de Volatility no se puede utilizar para obtener la lista de procesos de la imagen?
Pstree
Psget
Pslist
Psscan
¿Dónde se encuentra el fichero SAM dentro de un sistema Windows?
C:\Windows\System\config\
C:\Windows\Security\config\
C:\Windows\System\config\Users\
C:\Users\config\
¿Cuáles son las siglas de los timestamps del sistema de ficheros MACE?
Modificado, Acceso, Cambio, Creación
Modificado, Accedido, Creado, Entry modified
Todas las opciones son válidas
Ninguna opción es válida
¿Cuál de los siguientes módulos de Autopsy nos permite obtener información EXIF de los ficheros?
Picture Analyzer
PhotoRec Carver.
Recent Activity
Embedded File Extractor
¿Cuál de las siguientes tareas no es una tarea previa a la adquisición de un dispositivo iOS?
Desactivar el auto-bloqueo de pantalla
Activar el modo avión
Eliminar los datos del teléfono mediante la aplicación Find My iPhone. *esto ta mal, precisamente se evita eso con el modo avión xd
Retirar la tarjeta SIM del dispositivo
¿Cuál es la utilidad de las Shellbags en el análisis forense de Windows?
Guardan información sobre los sitios web visitados
Permiten conocer si se abrió una carpeta, y en qué momento
Almacenan información sobre las modificaciones de los ficheros
Contienen archivos que aparentemente se han borrado del sistema
¿Qué ocurre al realizar una imagen de un disco cifrado?
El disco se copia en texto plano
El disco se copia cifrado, y no es posible descifrarlo aun conociendo la clave
El disco se copia cifrado, y se puede descifrar conociendo la clave
El disco se copia cifrado. Dependiendo de si se trata de un disco cifrado por Windows o Mac, será posible o no descifrarlo
¿Cuál de estas herramientas NO se considera como un clonador de disco?
DD
FTK Imager
Cellebrite UFED
Volatility
¿Qué extensión es habitual encontrar en los artefactos de MAC OSX?
.plist
.asl
.db
Todas las anteriores
¿Qué exploit permite realizar un jailbreak sobre un dispositivo iOS?
Checkm8
Pwnkit
BlueBorne
WannaCry
¿Qué timestamps sobre los ficheros se almacenan en la MFT?
Creado, modificado, desplazado de carpeta
Borrado, acceso, modificado, creació
Modificado, acceso, cambio, creación
Creación, borrado, modificado
¿Cuándo aparece Slack Space en un disco?
Cuando un sector no se llena por completo
Cuando quedan sectores sin llenar dentro de un clúster
Cuando un fichero ocupa exactamente un clúster
“a)” y “b)” son correctas
¿Qué significa “BFU” en el análisis forense de dispositivos iOS?
Boot Firmware Upgrade
Binary Form Unicode
Before First Unlock
Ninguna de las anteriores
¿Cómo se almacena el contenido de la papelera de reciclaje en Windows?
Un fichero contiene su ruta y otros metadatos, mientras otro guarda el contenido del archivo.
Tanto los metadatos como el contenido se guardan en un mismo fichero.
El contenido se mantiene, pero los metadatos (como su ruta) se borran.
En caso de ficheros grandes, se fragmenta el contenido en múltiples ficheros. Los metadatos se incluyen en el primero.
¿Cuál de las siguientes NO es una versión reciente de MAC OS X?
Monterrey
Big Sur
Catalina
Beaver
A la hora de recopilar las evidencias, según la RFC 3227, lo primero a recopilar es:
Contenidos de la memoria
Estado de los procesos en ejecución
Registros y contenidos de la caché
Estado de las conexiones de red, tablas de rutas
Las shellbags de windows son:
Lugar donde el almacena información relacionada con las preferencias de visualización de contenidos de windows explorer
Artefacto de windows que precarga información de los programas ejecutados
Contiene información que Windows utiliza como referencia continuamente, como por ejemplo los perfiles de usuarios
Ninguna de las anteriores es correcta
Un superFetch
Es el equivalente a los prefetch pero en las versiones nuevas de windows
Es una mejora que guarda más información y sustituye a los prefetch
Es una mejora que guarda más información pero no sustituye a los prefetch
Ninguna de las anteriores es correcta
La clave de registro de windows HKEY_LOCAL_MACHINE
Contiene información de configuración específica del equipo (para cualquier usuario)
Contiene información de configuración específica del equipo (para el usuario actual)
Contiene todos los perfiles de usuario cargados activamente en el equipo
Contiene la raíz de la información de configuración del usuario que ha iniciado sesión
El slack space
Es el espacio de disco ocupado por los ficheros
Es el espacio de disco que nunca ha sido utilizado
Es el espacio entre sectores que queda libre cuando eliminamos un fichero de un disco y añadimos otro que ocupa menos espacio
Es un espacio que solamente queda disponible es los discos duros SSD
En la papelera de reciclaje de windows...
Se almacenan dos tipos de archivos. Los que comienzan por $I contiene la ruta original del archivo y algunos datos propios del fichero, mientras que los que empiezan por $R tienen en el interior el contenido del archivo original
Se almacenan dos tipos de archivos. Los que comienzan por $R contiene la ruta original del archivo y algunos datos propios del fichero, mientras que los que empiezan por $I tienen en el interior el contenido del archivo original
Se almacena un archivo, que contiene toda la información del fichero.
Tanto A como B son correctas ya que depende de la versión de windows
Un prefetch con una firma MAM
Nos indica que pertenece a un windows 10 o superior
Nos indica que pertenece a un windows 8 o superior
Nos indica que pertenece a un windows 7 o superior
Nos indica que pertenece a un sistema linux
En la MFT, cuando se renombra un archivo
Cambia el FileName
Se actualiza la timestamp A de la SIA
Se actualiza la timestamp M de la SIA
Se actualiza la timestamp C de la SIA
En MACOS
Los archivos .DS_STORE son ficheros ocultos que guardan información sobre la carpeta
Los archivos .DS_STORE se actualizan periódicamente
Los archivos .dmg son instaladores
Todas las anteriores son correctas
El artefacto spotlight de MACOS
Es donde se almacenan las contraseñas
Es el sistema de apple que indexa la información
Contiene únicamente la lista de procesos en ejecución
Contiene únicamente información de los dispositivos Bluetooth
Si quiero sacar información EXIF de una imagen en autopsy, debería usar el ingest module
Embedded File Extractor
Recent activity
Picture Analyzer
PhotoRec Carver
En un análisis forense, el orden a seguir al tratar con una evidencia es:
Identificación, preservación, análisis y presentación
Preservación, identificación, análisis y presentación
Análisis, identificación, presentación y preservación
Ninguna de las anteriores
¿Cuál de estas herramientas puede ser utilizada para extraer información de un volcado de memoria?
FTK Imager
Autopsy
Volatility
EXIF Tool
¿Cuáles de las siguientes funciones están presentes en “dc3dd” pero no en “dd”?
Cálculo del hash al vuelo
Uso de logs
Las dos anteriores son correctas
Ninguna es correcta
¿A qué corresponden las siglas MFT en referencia al sistema de ficheros NTFS?
Master File Table
Multi File Transfer
Moderate Frequency Transfers
Managed File Transfer
¿Cuál de los siguientes no es un sistema de ficheros propio de Mac OS X?
APFS
HFS+
NTFS
Todos los anteriores son propios de Mac OS X
¿Para qué sirve el módulo de Autopsy “PhotoRec Carver”?
Busca archivos (de cualquier tipo) en el espacio sin asignar en la fuente de datos
Busca imágenes en el espacio sin asignar en la fuente de datos
Busca metadatos EXIF en las imágenes de la fuente de datos
Busca imágenes conocidas (cuyo hash es “famoso”) en la fuente de datos
¿Cuáles de las siguientes tareas son recomendables antes de realizar una extracción a un dispositivo iOS?
Establecer el retraso del bloqueo de pantalla por inactividad a “Nunca”.
Activar el modo avión en el dispositivo.
Ambas son correctas.
Ninguna es correcta.
¿Es posible realizar una clonación parcial de un medio de almacenamiento utilizando dd?
No, no es posible
Sí, a través del parámetro “count”.
No, para esto se requiere dc3dd.
Solamente si el medio es mayor a 1.048.576 bloques
En caso de que no se sepa cuál es la zona horaria correspondiente a una fuente de datos (por ejemplo, en Autopsy), ¿cuál sería la mejor opción?
Establecer una zona horaria al azar
Utilizar la zona horaria del lugar en el que nos encontramos.
Utilizar GMT+0/UTC.
Ninguna es correcta.
¿Cuáles de las siguientes afirmaciones son verdaderas en referencia al “thumbcache” de Windows?
Es una base de datos de miniaturas de imágenes.
Es usado por el explorador de archivos, para no tener que regenerar siempre las miniaturas
Puede servir para recuperar imágenes que han sido borradas completamente del disco (sobreescritas con ceros).
Todas son verdaderas.
¿Qué tienen en común “foremost”, “scalpel” y “X-Way Forensics”?
Todas son utilidades para analizar volcados de memoria.
Todas son utilidades para analizar clonados de disco.
Todas son utilidades para realizar clonados de disco.
Todas son utilidades para hacer “file carving”.
¿A quien o quienes se les denomina como los pioneros de la informática forense?
Brian Carrier
Dan Farmer y Wietse Venema (Forensics Toolkit).
Chema Alonso.
Ninguno de los anteriores.
¿Qué tipos de casos nos podemos encontrar en la informática forense?
Pericial
Incident response.
Competencia desleal
Todas son correctas.
¿Cual de las siguientes sintaxis del comando DD (clonación) es incorrecta?
Dd if=/dev/sda of=/dev/sdb bs=1M
Dd -i /dev/sda -o /dev/sdb
Dd if=/dev/sda of=/dev/sdb bs=100M count=100
Dd if=/dev/sda3 of=/dev/sdb3 bs=4096 conv=notrunc,noerror
¿Cual es la principal desventaja de las clonadoras de discos hardware?
Coste
Velocidad
Sencillez
Ninguna de las anteriores.
Ante discos cifrados empleando herramientas como Bitlocker o TrueCrypt, se ha visto que la clonación es posible pero, ¿que es necesario para su análisis?
Nada, una vez realizado el clonado la información es totalmente legible.
La clave de cifrado.
La versión del software de cifrado utilizado.
Ninguna de las anteriores.
¿Cuál de los siguientes algoritmos de reducción criptográfica está desaconsejado su uso en la actualidad?
SHA256
SHA512
MD5
BLAKE3
De las siguientes herramientas software, ¿cuál de ellas tiene como finalidad la extracción de metadatos de un archivo?
DC3DD
Squid
Lavasoft
EXIF Tools
{"name":"Forense", "url":"https://www.quiz-maker.com/QPREVIEW","txt":"¿Eres un experto en análisis forense digital? Pon a prueba tus habilidades con nuestro emocionante cuestionario de 59 preguntas que desafían tus conocimientos en este campo crucial. Desde la recolección de evidencia hasta el análisis de sistemas, ¡este quiz es tu oportunidad para demostrar lo que sabes!59 preguntas variadasRetos en técnicas forensesIdeal para profesionales y estudiantes","img":"https:/images/course6.png"}
More Quizzes
AV-PT
1585
SNEG
211033
Riesgos y Controles en el área de redes y comunicaciones.
1260
Nueva versión yaml y SSD
740
5 RI TEST
520
Cloud Services
5241
SIJE 2020 | Proceso Electoral Local 2019 - 2020
11626
SIJE 2020 | Proceso Electoral Local 2019 - 2020
11624
SIJE 2020 | Proceso Electoral Local 2019 - 2020
11627
SIJE 2020 | Proceso Electoral Local 2019 - 2020
11626
SIJE 2020 | Proceso Electoral Local 2019 - 2020
11626
SIJE 2020 | Proceso Electoral Local 2019 - 2020
11626