Guia de estudio del 3er. examen
¿Que caracteristicas contiene un Análisis Forense?
- Pasos generales: • Iniciar un análisis mirando la tabla de particiones en el sospechoso conducir • Recuperar archivos borrados • Crear y examinar tiempos de MAC • Usar tecnologías de tallado de datos para recuperar datos ocultos. • Búsqueda por palabra clave de términos relacionados con su caso • Compruebe si hay correos electrónicos, imágenes, datos de Internet • Recoger evidencia del registro, papelera de reciclaje, accesos directos, registros de eventos, etc.
¿Cuáles son las investigaciones en ventanas?
Adquirir la Evidencia • Preservar la prueba • Analizar la evidencia • Informe
¿Qué implica las investigaciones en ventana?
Adquirir la Evidencia, Preservar la prueba, Analizar la evidencia, Informe
APPEVENT.EVT
Almacena eventos asociados con aplicaciones, como bases de datos, Servidores web, aplicaciones de usuario.
SECEVENT.EVT
Almacena eventos relacionados con la seguridad, incluidos intentos fallidos de inicio de sesión e intenta acceder a los archivos sin los permisos adecuados.
Son Métodos de inyección Stego
Añadir / modificar datos a archivo existente . Aumenta el tamaño del archivo.
¿Donde comienza el sector de arranque de volumen en NTFS?
Comienza en el primer sector de la partición
¿Para que sirve el comando ipconfig?
Comprueba si la interfaz de red está funcionando en un modo promiscuo
SAM
Contiene información de cuenta de usuario para usuarios y grupos en el sistema También contiene contraseñas de inicio de sesión hash.
¿Que informacion contiene SAM?
Contiene información de cuenta de usuario para usuarios y grupos en el sistema, También contiene contraseñas de inicio de sesión hash
Software
Contiene una lista de todos los programas instalados y sus configuraciones Rutas a archivos de aplicación y directorios.
¿Como esta conformado un software?
Contiene una lista de todos los programas instalados y sus configuraciones, Rutas a archivos de aplicación y directorios
Automático y Personalizado
Dos tipos de lista de saltos:
el Sistema de archivo de formato
El proceso de convertir una partición en un sistema de archivos reconocibles
¿Cómo pueden ayudarnos las miniaturas?
El usuario puede eliminar archivos de la carpeta, pero las copias de esos archivos aún en el archivo de miniaturas. • Las miniaturas muestran los archivos existentes en el volumen, y Fechas de modificación de esos archivos, aunque los archivos sí No existen en el momento del examen.
que programa tiene como ventaja Proporciona una fácil visualización y navegación de los posibles archivos de evidencia (incluyendo estructuras de carpetas y los metadatos de archivos)
EnCase Forensic Imager
¿En qué tamaños puede ser compatible NTFS?
Es compatible con todos los tamaños de los cúmulos de 512 bytes hasta 64 Kbyte
¿Que es la Esteganografía?
Es el arte y la ciencia de ocultar las comunicaciones.
Papelera de reciclaje
Es una carpeta oculta del sistema llamada: Reciclado en Windows 95 y 98. Reciclador en WinNT / 2K • NTFS.
Es uno de los pasos para utilizar la suite stego: StegoWatch para detectar archivos sospechosos.
Es una de las razones del porque Audio/Video Stego es peligroso:
Rifiuti
Es una herramienta gratuita de McAfee.
Kit de herramientas forense (FTK)
Es utilizado para elaborar imágenes forenses basadas en software
Archivos de acceso directo
Existe en • Documentos recientes • Menu de inicio • Enviar a • Escritorio de Windows • Con extensión de .lnk.
¿Qué tipos de FAT existen?
FAT 12, FAT 16, FAT 32, exFAT
¿Que significa FAT?
File Allocation Table
¿Qué significa "GRR"?
Google Respuesta Rápida
un sistema de archivos
Hace una estructura para un sistema operativo que almacena archivos
Spam Mimic
Herramienta de esteganografía basada en web.
¿Que estructura tiene NTUSER?
Información de almacenamiento protegida, Los programas ejecutados recientemente, Los archivos usados recientemente abrir o guardar, Redes de acceso reciente, Usos y contraseña de Internet Explorer y configuracion de preferencias
¿Cuales son las tecnologias de Esteganografia?
Inyeccion, Sustitucion, Generacion de archivos completamente nuevos y canales encubiertos.
SHD Y SPL
La impresión implica un proceso de cola de impresión para cada trabajo de impresión, se crean dos archivos.
¿Qué implica la impresión y su proceso?
La impresión implica un proceso de cola de impresión • El proveedor de impresión local. • escribe el contenido del archivo en un archivo de spool (.SPL) y crea una Archivo gráfico separado (EMF) para cada página. • Hace un seguimiento del nombre de usuario, nombre de archivo y tipo de datos en un archivo sombra (SHD) • La puesta en cola protege un trabajo de impresión guardándolo en el disco
¿Que contiene el sector de arranque de volumen NTFS?
La información de la etiqueta de volumen y tamaño, la ubicación de los archivos de clave de metadatos
Imágenes en color verdadero,Imágenes comprimidas e Imágenes de la palet
Las imágenes digitales se componen de pixeles, hoy existen 3 métodos populares, ¿Cuales son?
¿cuántos tipos de NTFS existen?
NTFS4, NTFS5
¿Qué pasa cuando eliminas un archivo?
No elimina por completo el contenido de ese archivo desde el disco
¿Que partes integran a SYSTEM?
Nombre de la computadora, Controladores de dispositivos y asignaciones de letras de controladores, La última configuración buena conocida, información de configuración y Perfil de hardware
¿Qué es lo que se puede encontrar en los archivos de registro?
Nombres de usuario, contraseñas para programas, Sitios visitados de Internet que incluyen fecha y hora, Un registro de búsquedas en Internet a través de Google, Yahoo, Listas de archivos accedidos recientemente, Una lista de programas instalados en el sistema.
Esteganografía
Oculta la existencia de un mensaje o datos ocultos.
¿Qué comando muestra el contenido del portapapeles?
Pclip
Criptografía
Proporciona confidencialidad pero no oculta que los datos son incrustado.
¿ que contienen las listas de salto?
Proporcionar al usuario un acceso rápido a los documentos y Tareas que se han usado frecuentemente o recientemente. • Lista de hasta 10 archivos accedidos más recientemente o con frecuencia destino evaluado por aplicación • contiene información • nombre de archivo completo y ruta • nombre de la computadora y dirección MAC • última fecha y hora de acceso • Aplicación utilizada para abrir el archivo. contienen archivos incluso si se han eliminado
¿Qué comando muestra la información del sistema?
Psinfo
¿Cual es la diferencia entre Criptografia y Esteganografia?
Que la criptografia proporciona confidencialidad pero no oculta que los datos son incrustados y la Esteganografia oculta la existencia de un mensaje o datos ocultos.
.¿de que se encargan los archivos de registro de eventos?
Registros de eventos para el sistema. • SECEVENT.EVT • SYSEVENT.EVT • APPEVENT.EVT • Estos archivos están escritos en formato binario. • Utilice el Visor de eventos para leer los archivos de registro. • EnScript: analizador de registro de eventos de Windows CYBER 502x menciona las herramientas forenses útiles para Windows según el archivo Sleuthkit/Autopsy • EnCase • FTK • OSForensics • • ProDiscover • Forensic Explorer menciona 4 caracteristicas de las herramientas de analisis forense *Recuperación de archivos eliminados, incluyendo el tallado de datos • Análisis de tiempos de MAC • Búsqueda de índice y búsqueda en vivo • Análisis de firmas menciona las Opciones de Preprocesamiento de Evidencia • Hash MD5 y Hash SHA1 • Análisis de firma de archivos • Prueba de entropía (para comprobar si el archivo está comprimido o encriptado) • Talla de datos • Marcar extensiones malas • índice
¿Qué archivos se crean durante la impresión?
SHD (archivo de sombra) contiene información sobre el trabajo de impresión • el propietario • la impresora • el nombre del archivo impreso • El camino plenamente cualificado. • el método de impresión (RAW o EMF) • .SPL contiene el contenido del archivo con imágenes .EMF
¿Qué herramienta de imagen RAM sirve para volcar la memoria a una USB una imagen de arranque?
Scraper.bin
Los archivos LNK
Se almacenan en un orden desde el más antiguo al más reciente.
La Decodificación
Se puede utilizar para interpretar la fecha / hora exacta.
Stegobreak
Sirve para intentar romper contraseñas.
¿Qué pasa si recuperas una carpeta en partición bajo FAT?
Sus entradas de directorio se sobrescriben en el directorio padre
Encabezado de un archivo, las sumas de control, bloque de datos
Un archivo de evidencia está constituido por
¿Que determina un sistema?
Un conjunto de control si está activo, Averiguar zona horaria y dispositivos montados
MENCIONA ALGUNAS DE LAS CARACTERISTICAS DE TIEMPOS DE MAC •
Windows registra la fecha y la hora de un archivo • Creación (Creada) • Última modificación (Modificación) • La fecha en que se accedió por última vez a un archivo (Acceso) • La última entrada de MFT modificada (modificada) hora (E)
A que nos referimos con una busqueda en crudo o en vivo?
bsquedas basadas en datos sin indexar, sin procesar utilizando la expresion
conjunto de ordenadores unidos entre sí que se comportan como si fuesen una única computadora
clúster
Espacio que queda entre dos piezas que han de encajar una en otra
con espacio de holgura
¿Qué es la memoria volátil?
es aquella memoria cuya información se pierde al interrumpirse el flujo eléctrico
Esteganografía
es el arte y la ciencia del escondite. comunicaciones • del griego • "Steganos" significa 'oculto' o 'cubierto' • "-grafía" significa "escritura".
El Esteganálisis
es el proceso de • Detección de esteganografía. • Recuperación de evidencias ocultas.
¿Qué es un archivo NTFS?
es un sistema de archivos estándar para Windows NT / 2K
¿Qué es GRR?
es una herramienta de respuesta rápida a ataques centrado en análisis forense remoto de sistemas
¿Qué son las técnicas anti forense?
las técnicas que los intrusos pueden utilizar para evitar que un forense cualificado pueda llevar acabo su trabajo con éxito
A que nos referimos con una busqueda de indice?
los datos se indexan antes de buscar
Las Miniaturas
muestran los archivos existentes en el volumen, y Fechas de modificación de esos archivos, aunque los archivos sí No existen en el momento del examen.
El Malware
oculta los archivos de configuración.
El Usuario
puede eliminar archivos de la carpeta, pero las copias de esos archivos aún en el archivo de miniaturas.
análisis visual y estadístico
son tipos de métodos de detección.
ipconfig
¿Comando nos puede proporcionar el estado de la red en consola?
El hex carácter F6h o ceros en todo el disco
¿Como se escribe un formato completo ?
16 bits
¿Cual es el tamaño los ntfs las cadenas de caracteres en Unicode?
Local o remota al ejecutar el comando psinfo
¿Cuales son las dos maneras en las que se puede ejecutar el comando psinfo?
Creando durante el formateo de un volumen NTFS
¿Cuando es creada un tabla de archivos maestros?
Un formato rápido y Formato completo
¿Cuantos Formatos de alto nivel existen en Windows ?
64 bits
¿Cuantos bits abordan los clústeres de NTFS?
Hasta 16 sectores
¿Cuantos sectores puede utilizar NTFS?
Bloqueador de escritura de software
¿Cuál de las siguientes opciones no es un dispositivo de forense rápido?
Envía peticiones de acción a los clientes
¿Cuál es la función que tiene GRR server?
Recuperación de contraseña
¿Cuál es una característica de la memoria forense?
Vuelca los archivos de usb . Copia los archivos y carpetas desde la unidad flash en silencio cuando se conecta a la PC.
¿Para que se usa la herramienta usbdump?
Para escribir bloque un dispositivo USB, FireWire o SCSI
¿Para qué se utiliza las herramientas que controlan las lecturas y escrituras de una unidad conectada?
Los archivos $BITMAP
¿Que archivo hace seguimiento del uso del cluster?
WinNT,WinXP,...,Windows 7
¿Que sistemas operativos son utilizados para NTFS?
Consulta,muestra o desconecta archivos abiertos localmente o por usuarios de la red
¿Que uso tiene el comando openfiles en windows?
psloggedon
¿Qué comando podemos utilizar para que nos muestres los usuarios que están conectados actualmente?
Es una herramienta para el análisis forense en entornos Microsoft Windows, Linux, MacOS X
¿Qué es Helix?
Es un duplicador forense para la creación de imágenes forenses rápidas de discos duros y unidades de estado sólido
¿Qué es un Tableau TD2u?
promiscdeted
¿Qué herramienta nos proporciona la informacion de que el nic esta en modo promiscuo?
Aeskeyfind y rsakeyfind
¿Qué herramientas se utilizan para recuperar claves AES y claves RSA?
Tipo de instalación, fecha de instalación, versión del núcleo, paquetes de servicio, información de procesadores, organización registrada y propietario
¿Qué informacion del sistema nos proporciona?
Respuestas rapidas de google
¿Qué significa GRR?
¿Que procesos implica Forense?
• Descubrir y coleccionar • Conservar • Analizar • Presente / Informe
¿Helix3 opera de dos modos cuáles son?
• En un Windows Live modo: la recogida de datos de un sistema vivo • análisis en profundidad de una máquina muerto: En un modo de CD de arranque
Son métodos populares de imágenes digitales
• Imágenes en color verdadero • Imágenes comprimidas • Imágenes de la paleta
¿Pasos básicos de imagen?
• Obtener datos volátiles (incluyendo RAM) si es posible • unidades de imagen y medios extraíbles.
¿cual es la funcion de un marcador?
• Organiza tu análisis de un caso en un grupo de seleccionados. artículos • Ayuda para escribir informes funcion de el servicio de instantáneas de volumen de Microsoft, vss • controla todos los cambios realizados en un volumen habilitado para VSS • solo realiza una copia de seguridad de un bloque si está a punto de modificarse
¿Que es google respuesta rápida (GRR)?
• Un marco de respuesta a incidentes • Enfoque en la medicina forense en vivo remotas •El uso de ambos Rekall y Sleuthkit • Cliente: agente de pitón para Linux, OS X y Windows • Servidor: Servidor Ubuntu 14.04 64 bits
¿Para qué sirve forense de memoria?
• detección de malware •objetos ocultos por rootkits (procesos, hilos, conexiones, etc.) • el malware residente en memoria • imágenes sin embalar / sin cifrar.
Son Tecnologías de Esteganografía general
• inyección • Sustitución • Generación de archivos completamente nuevos. • Canales encubiertos
