Forense
Cuestionario de Examen Febrero de 2019 1.- Análisis Forense Informático es la ciencia de adquirir, preservar, obtener y
Views 189 Downloads 2 File size 596KB
Recommend stories
- Author / Uploaded
- normluz
Citation preview
Cuestionario de Examen Febrero de 2019 1.- Análisis Forense Informático es la ciencia de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un medio computacional Verdadero Falso 3.- Identificación / Evaluar, Preservación o adquisición, Análisis, Informar/ Presentación de los resultados de la evidencia. Es la metodología a seguir en una investigación forense? Verdadero Falso 4.- La Evidencia Volátil y No Volátil son los tipos de videncia que podemos identificar en el Análisis Forense? Verdadero Falso 5.- El Computación forense es la disciplina de las ciencias forenses que consideran las tareas propias de la evidencia además de intentar descubrir e interpretar la información en los medios informáticos para establecer los hechos y poder formular hipótesis relacionadas con el caso. Verdadero Falso 6.- El Forense Informático es la persona que hace uso de esas técnicas para descubrir evidencia en un dispositivo electrónico (Equipo de cómputo, DD, celulares, email, etc) Verdadero Falso 9.- El Principio de intercambio o transferencia menciona que es imposible que un criminal actúe, especialmente en la tensión de la acción criminal, sin dejar rastros de su presencia. Buscando la relación entre estos componentes (autor, víctima y escena del hecho) se le conoce como triángulo de la evidencia. Verdadero Falso 10.- El Método científico es una forma de observar, pensar y resolver problemas de una forma objetiva y sistemática, constituye un procedimiento de trabajo que permite descubrir las circunstancias en que se presentan hechos concretos y se caracteriza por ser: verificable, de observación objetiva y de razonamiento riguroso. Verdadero Falso 11.- Es un tipo de evidencia física construida de campos magnéticos y pulsos electrónicos, que por sus características deben ser recolectados y analizados con herramientas y técnicas especiales. a) Evidencia digital b) Análisis Forense c) Criminalística d) Criminología
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 1 de 26
12.- Intenta responder las siguientes preguntas: • ¿Quién ha realizado el ataque? • ¿Cómo se realizó? • ¿Qué vulnerabilidades se han explotado? • ¿Qué hizo el intruso una vez que accedió al sistema? a) Evidencia digital b) Análisis Forense c) Criminalística d) Criminología 13.- La confiabilidad de la como prueba estará dada por algunos aspectos básicos: ¿Cómo se obtuvo?, ¿Cómo se conserva? y ¿Quién lo realizó? a) Evidencia digital b) Análisis Forense c) Criminalística d) Criminología 15.- Un Incidentes de seguridad es cualquier acción fuera de la ley o no autorizada: ataques de denegación de servicio, extorsión, posesión de pornografía infantil, envío de correos electrónicos ofensivos, fuga de información confidencial dentro de la organización, en el cual está involucrado algún sistema telemático de nuestra organización. Verdadero 16.- Es la Metodología en un incidente de seguridad a) Preparación y prevención b) Detección del incidente c) Respuesta inicial d) Todas las anteriores e) Ninguna de las anteriores 17.- Se entiende como Incidentes de seguridad al conjunto de datos en formato binario, comprende los ficheros, su contenido o referencias a éstos (metadatos) que se encuentren en los soportes físicos o lógicos del sistema atacado? Verdadero Falso 20.- La aparición de nuevas tecnologías en los lugares del hecho ha motivado a los equipos de técnicos o peritos que participan en la recolección, a contar con una necesaria formación y capacitación para la adecuada preservación y levantamiento de la evidencia digita, es un Objetivo de? a) Evidencia digital b) Análisis Forense c) Criminalística d) Criminología
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 2 de 26
21.- La informática forense tiene 3 objetivos a) La compensación de los daños causados por los criminales o intrusos. b) La persecución y procesamiento judicial de los criminales. c) La creación y aplicación de medidas para prevenir casos similares con un enfoque preventivo d) Todas las anteriores e) Ninguna de las anteriores 22.- Etapas de un Análisis Forense son: 1. Identificar las acciones que se deben llevar a cabo cuando ya ha sucedido un incidente de seguridad. 2. Conocer las fases del análisis forense. 3. Conocer las herramientas que se deben utilizar en la gestión de incidentes de seguridad. 4. Saber elaborar un informe. Verdadero Falso 24.- En la fase de Preservación del Análisis Forense se debe garantizar la información recopilada con el fin de que no se destruya o sea transformada. Es decir que nunca debe realizarse un análisis sobre la muestra incautada, sino que deberá ser copiada y sobre la copia se deberá realizar la pericia. Verdadero Falso 25.- Es un acta en donde se registra el lugar, fecha, analista y demás actores que manipularon la muestra. a) Cadena de custodia b) Análisis físico y Análisis lógico c) Informe Ejecutivo e Informe Técnico. 37.- Cuando se accede a la información podemos encontrar dos tipos de análisis: a) Cadena de custodia b) Análisis físico y Análisis lógico c) Informe Ejecutivo e Informe Técnico d) Evidencia volátil y Evidencia no volátil 28.- En la Fase final de Documentación del Análisis Forense, recomendamos ir documentando todas las acciones, en lo posible, a medida que vayan ocurriendo. Aquí ya debemos tener claro por nuestro análisis qué fue lo sucedido, e intentar poner énfasis en cuestiones críticas y relevantes a la causa. Debemos citar y adjuntar toda la información obtenida, estableciendo una relación lógica entre las pruebas obtenidas y las tareas realizadas, asegurando la repetibilidad de la investigación. Verdadero Falso 30.- En la Fase final de Presentación del Análisis Forense Presentación se generan dos documentos a) Cadena de custodia
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 3 de 26
b) c) d)
Análisis físico y Análisis lógico Informe Ejecutivo e Informe Técnico Sistema de ficheros
31.- Un “Informe _________” muestra los rasgos más importantes de forma resumida y ponderando por criticidad en la investigación sin entrar en detalles técnicos. Este informe debe ser muy claro, certero y conciso, dejando afuera cualquier cuestión que genere algún tipo de duda. a) Informe Ejecutivo b) Informe Técnico c) Análisis físico d) Análisis lógico 32.- El Informe _____consta de los siguientes puntos: (Introducción, Descripción, Recomendaciones) a) Informe Ejecutivo b) Informe Técnico c) Análisis físico d) Análisis lógico 35.- De acuerdo a los Niveles de Actuación del Informático Forense el Responsable de Identificación es la persona idónea para las tareas de identificación, y no necesariamente un especialista informático. Verdadero Falso 37.- De acuerdo a los Niveles de Actuación del Informático Forense El Especialista en Adquisición es la Persona autorizada, entrenada y calificada para recolectar dispositivos y adquirir evidencia digital de estos, como ser imágenes de disco, volcados de memoria o red, copias lógicas, entre otros tipos de evidencia digital. Verdadero Falso 39.- Algunos tipos de Análisis forense son: a) Análisis forense de sistemas b) Análisis forense de redes c) Análisis forense de sistemas embebidos d) Todos los anteriores e) Ninguno de los anteriores 40.- En el Análisis forense de sistemas se tratarán los incidentes de seguridad acaecidos en servidores y estaciones de trabajo con los sistemas operativos: Mac OS, sistemas operativos de Microsoft (Windows 9X/Me, Windows 2000 server/workstation, Windows 2003 Server, Windows XP, Windows Vista, Windows 2008 Server, etc.), sistemas Unix (Sun OS, SCO Unix, etc.) y sistemas GNU/Linux (Debian, RedHat,Suse, etc.).Verdadero Falso 42.- En el Análisis forense de sistemas embebidos se analizaran incidentes acaecidos en móviles, PDA, etc. Un sistema embebido posee una arquitectura Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 4 de 26
semejante a la de un ordenador personal. Verdadero Falso 43.- Que entiendes por sistema de ficheros? 44.Que entiendes por archivos borrados? 45.- Que son los metadatos de los archivos? 46.- Describe un ejemplo de recuperación de un archivo eliminado. 47.- La Cadena de Custodia es la manipulación adecuada de los elementos, rastros e indicios hallados en el lugar del hecho, durante todo el proceso judicial. Verdadero Falso 48.- Es una secuencia o serie de recaudos destinados a asegurar el origen, identidad e integridad de la evidencia, evitando que ésta se pierda, destruya o altere. Se aplica a todo acto de aseguramiento, identificación, obtención, traslado, almacenamiento, entrega, recepción, exhibición y análisis de la evidencia, preservando su fuerza probatoria. Permite, además, hacer transparente todo eventual cambio o alteración del material probatorio. a) Criminología b) Método científico c) Cadena de Custodia d) Metadatos 49.- Las etapas de la Cadena de custodia son: a) Identificación b) Validación y preservación c) Análisis de evidencia d) Informe y preservación de las pruebas e) Todas las anteriores 50.- En la ________es necesario documentar: Dónde, cuándo y quién manejo o examinó la evidencia, incluyendo su nombre, su cargo, un número identificativo, fechas y horas, etc. Quién estuvo custodiando la evidencia, durante cuánto tiempo y dónde se almacenó. Cuando se cambie la custodia de la evidencia también deberá documentarse cuándo y cómo se produjo la transferencia y quién la transportó. a) Criminología b) Método científico c) Cadena de Custodia d) Metadatos
51.- El proceso de ______se basa en los principios probatorios de protección del indicio, buscando que el mismo no sufra alteraciones; legitimidad, Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 5 de 26
respetando las normas legales; veracidad, libre de vicios de nulidad y de la necesidad de que los hechos sobre los cuales se basa la acusación y sentencia se encuentren acreditados. a) Criminología b) Método científico c) Cadena de Custodia d) Metadatos 52.- La _______recoge los principios éticos que deben ser asumidos por todos los profesionales de la informática pertenecientes a una asociación. a) Deontología informática b) Perito informático c) Cadena de Custodia d)
Metadatos
53.- Los deberes del perito informático son: a) Ser objetivo y ajeno completamente al proceso en el cual se le requiere o se presenta su participación. b) Ser una persona imparcial y sin intereses particulares. c) Poseer los conocimientos, la experiencia y la formación teórico-práctica como experto en la materia. d) Rechazar cualquier proceso que le sea imputado por coacción y no pueda ejercer de manera voluntaria e) Todas las anteriores 54.- En un dispositivo de almacenamiento nos encontraremos con tres tipos de datos recuperados: a) Allocated b) Deleted/Reallocated c) Unallocated d) Todas las anteriores e) Ninguna de las anteriores 55.- Allocated es un Inodo y nombre del fichero intactos, con lo que dispondremos del contenido integro Verdadero Falso 57.- Unallocated es un Inodo y nombre de fichero no disponibles, con lo que no tendremos el contenido íntegro del archivo aunque sí algunas partes. Verdadero Falso
58.- Es una estructura de datos propia de los sistemas de archivos tradicionalmente empleados en los sistemas operativos tipo UNIX como es el
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 6 de 26
caso de Linux. a) Inodo b) Allocated c) Deleted/Reallocated d) Unallocated e) Todos los anteriores 59.- las características de un ______son (permisos, fechas, ubicación, pero NO el nombre) de un archivo regular, directorio, o cualquier otro objeto que pueda contener el sistema de ficheros. a) Inodo b) Allocated c) Deleted/Reallocated d) Unallocated e) Todos los anteriores 60.-Es la forma en que se organiza, gestiona y mantiene la jerarquía de ficheros en los dispositivos de almacenamiento. a) Cadena de custodia b) Análisis físico y Análisis lógico c) Informe Ejecutivo e Informe Técnico d) Sistema de ficheros 61.- Los sistemas de ficheros más habituales son: a) FAT32 Y NTFS b) Ext3/4 c) HFS+ d) Todas las anteriores e) Ninguna de las anteriores 62.- FAT32 Y NTFS es el Sistema de ficheros para Sistemas Operativos Windows Verdadero Falso 64.- HFS+ es el Sistema de ficheros para Sistemas Operativos MAC OS Verdadero Falso 65.- Es un conjunto contiguo de sectores que componen la unidad más pequeña de almacenamiento de un disco a) Clúster b) Análisis físico y Análisis lógico c) Informe Ejecutivo e Informe Técnico d) Sistema de ficheros 66.- “El motivo por el cual no se elimina físicamente el archivo, es que este proceso implicaría llenar de ceros (o cualquier otro valor irrelevante) la zona del dispositivo donde se encontraba dicho archivo, lo que conllevaría mucho
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 7 de 26
tiempo y desgaste del propio dispositivo.” Verdadero Falso 68.- Los programas de recuperación de archivos trabajan de dos formas diferentes: a) El programa de recuperación de archivos, lee el índice, va a la posición donde este indica que se encuentra el archivo y lo recupera. b) denominada recuperación en bruto, consiste en leer los espacios del disco duro marcados como libres en el índice del sistema de ficheros y buscar en dichos espacios firmas de archivos conocidas, de manera que cuando encuentre una de estas firmas, sabemos que lo que viene a continuación es un archivo. c) Todos los anteriores d) Ninguno de los anteriores 69.- Los metadatos son información sobre datos que no están a simple vista pero que mediante etiquetas nos dicen muchas cosas de un archivo o documento. Verdadero Falso 70.- Estos ______a menudo plantean riesgos de seguridad, porque quizá estemos dando información sensible como nombres, teléfonos, direcciones de correo o rutas a personas malintencionadas. Esto es muy común si publicamos, compartimos o enviamos archivos a través de Internet. a) Clúster b) Metadatos c) Informe Ejecutivo e Informe Técnico d) Sistema de ficheros 71.- Los archivos como los documentos ofimáticos (hojas de cálculo, documentos de texto…), las fotografías, los archivos de vídeo y audio y los mensajes de correo electrónico (las cabeceras del mensaje) contienen a) Clúster b) Metadatos c) Informe Ejecutivo e Informe Técnico d) Sistema de ficheros
73.- Los ____de los archivos pueden representar una fuente de pruebas digitales para el informático forense y perito. a) Clúster b) Metadatos c) Informe Ejecutivo e Informe Técnico d) Sistema de ficheros Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 8 de 26
75.- La Clasificación de los Metadatos son: a) Por contenido b) Variabilidad c) Por función d) Por finalidad e) Todas las anteriores 76.- El Rol y función de los Metadatos son: a) Búsqueda y Recuperación b) Transferencia y Evaluación c) Archivo, conservación e Interoperabilidad d) Todas las anteriores e) Ninguna de las anteriores 78.- Los metadatos pueden ser creados o modificados en los siguientes puntos dentro de la vida de los datos: a) Cuando se crean los datos. b) Cuando se organizan o catalogan los datos. c) Cuando se modifican o editan los datos. d) Cuando se archivan o descatalogan los datos. e) Todas las anteriores 79.- Son escenarios de perdida de datos: a) Eliminación accidental b) Formateo c) Operación inadecuada d) Todas las anteriores e) Ninguna de las anteriores 80.- Son la parte fundamental de un análisis forense, pues sin ellas el resto del estudio no se podría realizar a) Clúster b) Metadatos c) Evidencias d) Sistema de ficheros
81.- Una Evidencia Digital es cualquier información que, sujeta a una intervención humana, electrónica y/o informática, ha sido extraída de cualquier clase de medio tecnológico informático (computadoras, celulares, aparatos de video digital, por ejemplo). Técnicamente, es un tipo de evidencia física que está constituida por campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales.
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 9 de 26
Verdadero Falso 82.- La evidencia digital debe poseer las siguientes características esenciales: a) Relevancia y Suficiencia b) Validez legal y Confiabilidad. c) Todas las anteriores d) Ninguna de las anteriores 83.- Las evidencias digitales engloban: a) Evidencias volátiles b) Evidencias No volátiles c) Todas las anteriores d) Ninguna de las anteriores 84.- Las Evidencias volátiles son aquellas evidencias que cambian con facilidad como pueden ser las memorias caché, tablas de enrutamiento, los procesos que están en ejecución o la memoria RAM, entre otros. Este tipo de evidencias son las que primeramente tendremos que adquirir puesto que nuestras acciones pueden modificar su valor original y desaparecen al apagar el equipo. Verdadero Falso 85.- Es un ejemplo de evidencias volátiles: a) Procesos en ejecución, Conexiones activas. b) Drivers cargados, Direcciones web. c) Passwords y Servicios. d) Todas las anteriores e) Ninguna de las anteriores 86.-Son evidencias No Volátiles las que no cambian con tanta facilidad, aunque por supuesto nuestras acciones pueden alterar su valor si no actuamos con cuidado. Dentro de este tipo de evidencias se engloban los discos duros, pendrives, CDs, etc Verdadero Falso 88.- Como se acota la escena del crimen? 89.- Al acotar la escena del crimen debemos de tener en cuenta: a) ¿Qué equipos han sufrido de manera directa el incidente? b) ¿Qué otros equipos que sin haber sufrido el incidente pueden estar relacionados con el mismo? c) Todas las anteriores d) Ninguna de las anteriores 90.- En la Escena del Delito los Investigadores que llegan primero a una escena del crimen tienen ciertas responsabilidades: a) Observar y establecer los parámetros de la escena del delito, Iniciar las medidas de seguridad
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 10 de 26
b)
Asegurar físicamente la escena, Asegurar físicamente las evidencias c) Entregar la escena del delito y Elaborar la documentación de la explotación de la escena d) Todas las anteriores c) Ninguna de las anteriores 91.- Acotando la escena del crimen el primero en llegar a la escena, debe Observar y establecer los parámetros de la escena del delito. Establecer si el delito está todavía en progreso, luego tiene que tomar nota de las características físicas del área circundante. Verdadero Falso 92.- Acotando la escena del crimen al Iniciar las medidas de seguridad el objetivo principal en toda investigación es la seguridad de los investigadores y de la escena. Verdadero Falso 93.- Acotando la escena del crimen en la etapa de Asegurar físicamente la escena es crucial durante una investigación, se debe retirar de la escena del delito a todas las personas extrañas a la misma, el objetivo principal es el prevenir el acceso no autorizado de personal a la escena, evitando así la contaminación de la evidencia o su posible alteración. Verdadero Falso 94.- Acotando la escena del crimen al Asegurar físicamente las evidencias en este paso es muy importante a fin de mantener la cadena de custodia de las evidencias, se debe guardar y etiquetar cada una de ellas. Verdadero Falso 95.- Acotando la escena del crimen después de que se han cumplido todas las etapas anteriores, Entregar la escena del delito la escena puede ser entregada a las autoridades que se harán cargo de la misma. Verdadero Falso 96.- Acotando la escena del crimen es Indispensable para los investigadores documentar cada una de las etapas de este proceso, a fin de tener una completa bitácora de los hechos sucedidos durante la explotación de la escena del delito, las evidencias encontradas y su posible relación con los sospechosos elaborando la documentación de la explotación de la escena Verdadero Falso
97.- La ________permite al investigador forense comprender todos los hechos relacionados con el cometimiento de una infracción, usando para ello las evidencias disponibles. a) Reconstrucción del delito b) Reconstrucción Funcional c) Reconstrucción Temporal
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 11 de 26
d) e)
Todas las anteriores Ninguna de las anteriores
98.- Los indicios que son utilizados en la reproducción del Delito permiten al investigador realizar formas de reconstrucción a saber: (Reconstrucción Relacional, Reconstrucción Funcional, Reconstrucción Temporal Verdadero Falso 99.- La reconstrucción relacional de la Escena del Delito se hace en base a indicios que muestran la correspondencia que tiene un objeto en la escena del delito y su relación con los otros objetos presentes. Verdadero Falso 100.- En la reconstrucción Temporal de la Escena del Delito señala la función de cada objeto dentro de la escena y la forma en que estos trabajan y como son usados Verdadero Falso 101.- La reconstrucción Temporal de la Escena del Delito se hace con indicios que nos ubican en la línea temporal del cometimiento de la infracción y en relación con las evidencias encontradas. Verdadero Falso
102.- Adquirir una evidencia es sencillamente crear un archivo que contenga toda la información contenida en la evidencia original. Incluidos los espacios marcados como vacíos o libres (si estamos hablando de dispositivos como un disco duro o un pendrive). Verdadero Falso 103.- Los tipos de archivos de evidencia más comunes son: RAW (*.*) , EnCase EVF (*.Exx) y Advanced Forensics Format (*.AFF) Verdadero Falso 104.- Las evidencias _________, como la memoria RAM, tendremos que adquirirlas en caliente, esto es, con el equipo a examinar encendido (pues como ya se ha dicho, estas evidencias desaparecen al apagar el equipo). El principal problema de este tipo de adquisición, es que las evidencias del equipo se degradan, pudiendo incluso llegar a perderse evidencias si no tenemos cuidado con nuestras acciones. a) Evidencias Volátiles b) Evidencias No volátiles c) Evidencias Lógicas d) evidencias Materiales 106.- Del análisis de la memoria RAM se puede obtener: a) Contraseñas de acceso (en claro o el hash de las mismas) b) Documentos abiertos por el usuario, aunque no se hubieran guardado c) Imágenes que se estuvieran visualizando
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 12 de 26
d) Programas
en ejecución (es posible extraer un ejecutable completo de la captura de la memoria RAM) e) Todas las anteriores 107.- La adquisición de evidencias no volátiles podemos adquirirlas: a) En frío con el equipo apagado b) Como en caliente c) Con el equipo en funcionamiento d) Todas las anteriores e) Ninguna de las anteriores 108.- El RFC 3227 es una normativa recomendada para la adquisición de evidencia Verdadero Falso 109.- Preservación de la integridad e identidad de las evidencias 1.Alejar a todas las personas no autorizadas de la escena 2.Identificar al administrador de los sistemas en caso de necesitar apoyo técnico 3.Mantener el estado de los dispositivos, si están encendidos, no apagarlos y viceversa 4.Buscar posibles notas asociadas a las contraseñas o PINs de acceso a los equipos 5.Fotografiar la escena, para documentar el estado inicial y para una posible reconstrucción posterior 6.Etiquetar dispositivos y cableado 7.Localizar equipos inalámbricos instalados y determinar los modos de conexión que usan 8.No desconectar fuentes de alimentación cuando las evidencias estén almacenadas en soportes volátiles 9. En los distintos dispositivos digitales, revisar la existencia de dispositivos de almacenamiento adicionales introducidos en ellos Verdadero Falso 110.- El estado en el que se encuentran los sistemas, de modo que el proceso de adquisición de evidencias no será el mismo. Verdadero Falso 111.- En los Sistemas apagados la preservación de la integridad e identidad de las evidencias, las recomendaciones básicas, para el perito informático, son realizar un borrado seguro del soporte que va a contener el clonado forense y, una vez realizado dicho borrado, utilizar dispositivos bloqueadores de escritura (hardware o software) para garantizar la no alteración de los datos originales, calculando el resumen hash tanto de la información contenida en el soporte original, como en el soporte copia obtenido, comprobando que ambos resúmenes son idénticos. Verdadero Falso 112.- En los Sistemas encendidos la preservación de la integridad e identidad de las evidencias, cuando los sistemas se encuentran en funcionamiento, se deberá proceder a su adquisición según el orden de volatilidad, de mayor a menor volatilidad. El grado de volatilidad posee, por lo general, dos niveles Verdadero Falso Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 13 de 26
114.- Son normativas recomendada para la integridad e identidad de las evidencias: RFC 3227, ISO/IEC 27042:2015, Guía de la IOCE IOCE06 Verdadero Falso 115.- El ISO/IEC 27042:2015 es una norma para el análisis e interpretación de evidencias digitales, proporciona directrices sobre cómo un perito informático puede abordar el análisis e interpretación de una evidencia digital en un incidente o en una intervención pericial, desde su identificación (evidencia digital potencial), pasando por su análisis (evidencia digital), hasta que es aceptada como prueba en un juicio (evidencia digital legal). Verdadero Falso 116.- El RFC 3227 define un proceso para la recolección de evidencias que ayuda al perito informático a adquirir y catalogar las evidencias digitales. Verdadero Falso 117.- La Guía de la IOCE IOCE06 es el documento provee una serie de estándares, principios de calidad y aproximaciones para la detección prevención, recuperación, examinación y uso de la evidencia digital para fines forenses. Cubre los sistemas, procedimientos, personal, equipo y requerimientos de comodidad que se necesitan para todo el proceso forense de evidencia digital, desde examinar la escena del crimen hasta la presentación en la corte Verdadero Falso 118.- El proceso de preservación de la integridad e identidad de las evidencias es: a) Recolección, Análisis Preliminar b) Investigación, Análisis, Presentación c) Todas las anteriores d) Ninguna de las anteriores 119.- La informática forense es un proceso de investigación y que las evidencias que obtengamos deben de poder ser presentadas como medio de prueba en un procedimiento judicial. Verdadero Falso 120.- El objetivo de un análisis forense debe responder a: Que se ha alterado?, Como se ha alterado?, Quien ha realizado dicha alteración? Verdadero Falso 121.- En el análisis de las evidencias la última de las preguntas es Como se ha alterado? Donde se plantea el reto de saber quién fue el autor material de los hechos. Quién ha realizado las modificaciones que han sido detectadas. Verdadero Falso 122.- Las Etapas de un análisis forense según NIST 2006 son: a) Recolectar, Preservar
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 14 de 26
b) c) d)
Analizar y Presentar las evidencias Todas las anteriores Ninguna de las anteriores
123 .- Quien ha realizado dicha alteración? Es la última etapa de un análisis forense consiste en la realización de un informe pericial en el que se detallen: Verdadero Falso 124.- Las evidencias que obtengamos de un análisis forense deben de poder ser presentadas como medio de prueba en un procedimiento judicial. Pero, para que un elemento pueda servir como elemento probatorio en un procedimiento judicial se tiene que poder asegurar que dicho elemento no ha sido alterado desde el momento de su recolección hasta su análisis y presentación. a) La cadena de custodia. b) Evidencia Volátil c) Evidencia No volátil d) Evidencia lógica 125.- La cadena de custodia es el proceso mediante el cual la evidencia es transmitida sin modificación alguna, desde quien la ocupa, hasta quien la analiza. Verdadero Falso 126.- Los objetivos que se a conseguir mediante el uso de la cadena de custodia son: a) Garantizar la integridad de la evidencia, impidiendo que se realice cualquier cambio sobre la misma. b) Garantizar su autenticidad, permitiendo contrastar su origen. c) Garantizar la posibilidad de localización, permitiendo saber en cualquier momento dónde se encuentra una evidencia. d) Garantizar la trazabilidad de los accesos a la evidencia. e) Garantizar su preservación a largo plazo. f) Todas las anteriores 127.- El mantenimiento de la cadena de custodia se suele llevar a cabo mediante la documentación de: a) Las personas custodiantes de la evidencia b) El uso de funciones hash que garanticen la integridad de la misma. c) Todas las anteriores d) Ninguna de las anteriores 128.- Cadena de custodia de las evidencias digitales se ha de llevar un registro de las personas que realicen cualquier operación con la evidencia, indicando la operación realizada, la fecha en que dicha operación ha sido realizada (inicio y finalización) y la persona que la ha realizado. Verdadero Falso 129.- Un __________puede ser cualquier persona, siempre y cuando sea un experto en la Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 15 de 26
materia sobre la cual pretenda realizar la pericia. a) Perito b) Custodio c) Recolector de evidencia d) Especialista en Seguridad Informática 131.- Describe los tipos de evidencia: 132- Describe el tipo de volatilidad de la evidencia: 133.- Como se acota la escena del crimen? 134.- Como se realiza la adquisición de evidencias? 135.- Describe cómo se lleva a cabo la preservación de la integridad de la evidencia: 136.- Describe cómo se lleva a cabo la identidad de la evidencia: 137.- Como se lleva a cabo el Análisis de las evidencias? 138.- El esquema de análisis de las evidencias incluye: a) El Pre-análisis b) Análisis c) Todas las anteriores d) Ninguna de las anteriores 139.- En el Pre-análisis de las evidencias se verifican: a) Archivos y volúmenes cifrados b) Máquinas virtuales, Archivos borrados c) Hash, Firmas d) Todas las anteriores e) Ninguna de las anteriores 140.- En el análisis de las evidencias se verifican: a) Palabras clave b) Sistema operativo c) Componentes de red d) Todas las anteriores e) Ninguna de las anteriores
141.- Es la fase pre-análisis en el análisis de las evidencias, donde identificamos los archivos y volúmenes cifrados, las máquinas virtuales, recuperamos los archivos borrados, obtenemos el hash de todos los archivos y realizamos una verificación de firmas de los mismos. Verdadero Falso 142.- Es la fase en el análisis de las evidencias, donde realizamos búsquedas de las palabras clave que nos interesan, analizamos el sistema operativo (con todo lo que ello incluye) analizamos los componentes de red. Verdadero Falso 143.- En la fase de Análisis de la evidencia se puede hacer de manera casi automática, pues en prácticamente todos los casos que nos encontremos se van
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 16 de 26
a realizar dichos pasos Verdadero Falso 144.- La fase de análisis de la evidencia es específica para cada caso concreto, pudiendo alterar algunos de los pasos que la componen o incluso eliminarlos. Verdadero Falso 145.- En el paso de Identificación de archivos y volúmenes cifrados del Preanálisis de la evidencia nuestra labor como analistas forenses consiste en descubrir los archivos y volúmenes que pudieran encontrarse cifrados en el equipo. Verdadero Falso 146.- Hay que tener en cuenta que no se van a poder descifrar todos los tipos de cifrado existentes, por lo que en caso de encontrar un archivo que no se pudiera descifrar y, por lo tanto, no se pudiera leer su contenido, pasaríamos a anotar tal información en nuestro informe pericial con el fin de que quede constancia de dicho extremo. Verdadero Falso 147.- En la Identificación de las máquinas virtuales, del Pre-análisis de la evidencia para identificar las máquinas virtuales que pudieran existir en el equipo, lo ideal es comenzar por las aplicaciones instaladas en el mismo. Si el equipo tiene instalado el software VMware, es lógico pensar que puede tener máquinas virtuales en dicho formato, aunque esto no excluye la búsqueda de otro tipo de máquinas virtuales. Verdadero Falso 148.- Los formatos más comunes de discos duros de máquinas virtuales son: a) *.VMDK Formato abierto utilizado por VMWare (desarrollador) y VirtualBox b) *.VHD Formato abierto (Bajo la especificación Microsoft Open Specification Promise) utilizado por MS Virtual PC y MS Hyper-V c) *.XVA Formato abierto utilizado por Citrix XEN Verdadero Falso 149.- En la Recuperación de archivos borrados del Pre-análisis de la evidencia para la recuperación de los archivos borrados. Cuando se elimina un archivo sigue siendo posible la recuperación del mismo. Verdadero Falso 150.- En la recuperación de archivos borrados durante el Pre-análisis de la evidencia usamos programas como AccessData FTK, que muestran los archivos marcados como borrados en el índice del sistema de ficheros y posteriormente realizaremos una búsqueda en bruto de archivos borrados mediante programas como Photorec o R- Studio, que realizan la búsqueda sobre el espacio libre del dispositivo. Verdadero Falso
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 17 de 26
151- El Hash de los archivos (Descartar/Señalar) del Pre-análisis de la evidencia hacemos un tipo de filtrado que consiste en obtener el hash de todos los archivos a estudiar y comparar sus valores con una base de datos de archivos «malos» o «buenos», de manera que podamos descartar los archivos considerados como «buenos» (archivos del sistema operativo o de programas fiables) y nos podamos centrar en los «malos» o desconocidos. Verdadero Falso 152.- Hay que tener muy en cuenta el algoritmo hash utilizado, puesto que si estamos realizando una comparativa entre algoritmos hash diferentes nos será imposible encontrar concordancia. Un ejemplo sería el tener en nuestra Base de Datos de hashes, los hashes MD5 de archivo de interés e intentar compararlos con hashes SHA1. Verdadero Falso 153.- Verificación de firmas en el Pre-análisis de la evidencia indica de qué tipo es un fichero es su cabecera o firma, puesto que la extensión puede ser fácilmente cambiada. Para comprobar si en los archivos que vamos a analizar coincide lo que la extensión indica con el contenido del archivo Verdadero Falso 154.- Para la verificación de firmas podemos utilizar el ya mencionado AccessData FTK, el cual, a partir de una base de datos de firmas de archivo, indica si en los archivos analizados se corresponde o no la firma y la extensión. Verdadero Falso 155.- La modificación de la extensión y/o la ruta con el objetivo de ocultar el verdadero contenido de un archivo es una técnica muy rudimentaria de ocultación de información, pero todavía bastante utilizada. Verdadero Falso 156.- En la búsqueda de palabras clave dentro del Análisis de la evidencia es necesario obtener documentos relacionados con determinadas palabras, por ejemplo, que tengamos que obtener los documentos en los que se menciona a una determinada persona. Verdadero Falso 157.- Para realizar la búsqueda podemos utilizar el mismo AccessData FTK, que permite realizar búsquedas mediante palabras clave o mediante expresiones regulares las cuales nos permiten definir patrones de búsqueda mucho más complejos que una simple búsqueda literal. Verdadero Falso 158.- En Análisis del sistema operativo tenemos que seguir una serie de pasos, durante los cuales tenemos que intentar responder a las siguientes preguntas: (Nombre y versión del sistema operativo instalado, Usuarios del sistema y sus
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 18 de 26
privilegios, Programas instalados, Antivirus instalados y análisis de seguridad, Análisis de los archivos de registro del sistema operativo, Hardware configurado en el sistema) Verdadero Falso 159.- En el Análisis de los componentes de red tenemos que seguir una serie de pasos, durante los cuales tenemos que intentar responder a las siguientes preguntas: (Programas Peer to Peer (P2P), FTP u otros de compartición de ficheros, Correos electrónicos y mensajería instantánea, Exploradores de Internet, Otros programas con acceso a Internet) Verdadero Falso 160.- Cuando analicemos los correos electrónicos, los programas de mensajería instantánea o cualquier otro programa que pueda albergar comunicaciones privadas entre personas, debemos de tener cuidado de no incurrir en un delito contra el secreto de las comunicaciones. Verdadero Falso 161.- El registro de Windows está compuesto por varios archivos, los cuales, en Windows 7 y 8 son: «SAM», «SECURITY», «SOFTWARE» y «SYSTEM», ubicados en la ruta «[WINDOWS INSTALL DIR]\System32\config\». Además del archivo «NTUSER.DAT» ubicado en la carpeta personal de cada usuario. Estos archivos pueden ser analizados fácilmente con la herramienta Windows Registry Recóvery de MiTeC. Verdadero Falso 162.- Los archivos de eventos almacenan los eventos ocurrido en el sistema operativo. En ellos podemos encontrar eventos sobre los accesos de los usuarios al equipo, las conexiones a la red, errores en la impresión de archivos, la creación de usuarios, etc. Verdadero Falso 163.- Los Archivos de paginación e hibernación de Windows que contiene información que se encontraba previamente en la memoria RAM, pero que por falta de espacio (archivo de paginación) o por entrar el equipo en suspensión (archivo de hibernación), se han copiado al disco duro. Verdadero Falso
164.- En este paso, del Análisis de la evidencia donde Analizamos el sistema operativo: a) Podemos saber si hay algún usuario anormal? b) Si hay cuentas anónimas activas? c) Si alguno de los usuarios es el propietario de algún archivo sospechoso? d) Todas las anteriores e) Ninguna de las anteriores
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 19 de 26
165.- En este paso, del Análisis de la evidencia donde Analizamos el sistema operativo: a) Podemos saber si tiene instalado algún antivirus? b) Existe algún antivirus fake? c) Está infectado con algún virus el equipo? En tal caso, ¿dicho virus se encuentra activo? d) Todas las anteriores e) Ninguna de las anteriores 166.- En este paso, del Análisis de la evidencia donde Analizamos el sistema operativo: a) Podemos saber Qué hardware se encuentra configurado en el sistema? b) Qué dispositivos han sido conectados al mismo? c) Con el hardware configurado se ha podido realizar el incidente investigado? d) Todas las anteriores e) Ninguna de las anteriores 167.- En este paso, del Análisis de la evidencia donde Analizamos los componentes de red podemos saber: a) Qué programas de este tipo tenía instalados y configurados? b) Alguno de ellos tenía una configuración «extraña»? c) Qué archivos se han compartidos o descargado? d) Todas las anteriores e) Ninguna de las anteriores 168.- El Sistema de ficheros es la forma en que se organiza, gestiona y mantiene la jerarquía de los ficheros en los dispositivos de almacenamiento. Verdadero Falso El archivo de eventos permite que los programas acceder a los datos, siendo necesario únicamente conocer la ruta de los archivos a los que se pretende acceder, dejando al sistema de ficheros la labor de traducción. Verdadero Falso
170.- Cuando se formatea un dispositivo, lo que se hace, entre otras cosas, es implantar un nuevo sistema de ficheros en dicho dispositivo; siendo los más comunes: a) FAT32 b) NTFS c) Ext3/4 d) HFS+ e) Todas las anteriores 171.- Cuando eliminamos un archivo, lo que estamos haciendo no es eliminarlo Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 20 de 26
físicamente del dispositivo, si no marcar dicho archivo como eliminado, indicar que el espacio ocupado por el mismo está libre, borrar el enlace a la primera parte del mismo, eliminar la definición del archivo del índice o varias de estas opciones, todo ello en función del sistema de ficheros utilizado. Verdadero Falso 172.- Los Archivos de paginación e hibernación de Windows son datos que describen otros datos. En el ámbito de la informática nos referimos a los datos asociados a los archivos que aportan información sobre los mismos Verdadero Falso 173.- Las Evidencias digitales se pueden englobar dentro de dos grandes grupos: Evidencias volátiles y Evidencias no volátiles Verdadero Falso 174.- Las Evidencias volátiles son aquellas que cambian con facilidad como pueden ser las memorias cache, tablas de enrutamiento, los procesos que están en ejecución o la memoria RAM, entre otros. Este tipo de evidencias son las que primeramente tendremos que adquirir puesto que nuestras acciones pueden modificar su valor original y desaparecen al apagar el equipo Verdadero Falso 175.- Las evidencias no volátiles como su mismo nombre lo indicia, no cambian con tanta facilidad, aunque por supuesto nuestras acciones pueden alterar su valor si no actuamos con cuidado. Dentro de este tipo de evidencias se engloban los discos duros, pendrives, CD´s, etc. Verdadero Falso 176.- Para acotar la escena del crimen debemos tener en cuenta a) ¿Qué equipos han sufrido de manera directa el incidente? b) ¿Qué otros equipos que sin haber sufrido el incidente pueden estar relacionados con el mismo? Verdadero Falso
177.- Adquirir una evidencia es sencillamente crear un archivo que contenga toda la información contenida en la evidencia original. Incluidos los espacios marcados como vacíos o libres (si estamos hablando de dispositivos como un disco duro o un pendrive). Verdadero Falso 178 ¿Para que adquirimos una evidencia? 179.- A la hora de realizar una adquisición en frío debemos de proteger contra escritura el dispositivo que se pretende adquirir con el fin de evitar la modificación
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 21 de 26
del mismo. Verdadero Falso 180.- Para verificar que lo analizado es una copia exacta de la evidencia original, o que la integridad de dicha copia se mantiene a lo largo de todo el proceso de análisis hacemos uso de a) Las funciones hash b) Sistema de ficheros c) Archivo de eventos d) Registro de Windows 181.- Una función hash es un tipo de función que debe reunir como mínimo las siguientes características: a) Para cada entrada «E», la función generará siempre una salida «S» única. Lo que implica que cualquiera alteración en la entrada, por mínima que sea, alterará la salida. b) A partir de la salida «S» de la función, es imposible obtener la entrada original «E». c) Todas las anteriores d) Ninguna de las anteriores 182.- Windows tiene una serie de archivos que nos van a proporcionar una valiosa información a la hora de realizar un análisis del mismo. Estos archivos son: El registro de Windows, Los archivos de eventos, Los archivos de paginación e hibernación Verdadero Falso 183.- El Registro de Windows es una gran base de datos donde se almacena información sobre el propio sistema operativo y los programas instalados. De él podemos obtener información como: el histórico de los dispositivos USB conectados, el hardware configurado en el equipo, las redes Wifi a las que el equipo ha estado conectado, los programas instalados, contraseñas de los usuarios, etc. Verdadero Falso
184.- Dentro de un sistema operativo tipo Linux, los archivos y carpetas de los que más información podremos extraer son: a) La partición de intercambio «swap» y El archivo «/etc/sudoers» b) El archivo «.bash_history» y La carpeta «/var/log/» c) d) e) f)
La carpeta «/var/spool/cron/crontabs» Todas las anteriores Ninguna de las anteriores
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 22 de 26
185.- La partición de intercambio «swap» son los archivos de intercambio añadidos al sistema (archivos con extensión «.swap»). Similar al archivo de paginación en sistemas Windows. Verdadero Falso 186.- El archivo «/etc/sudoers» son los archivos que indican qué usuarios pueden ejecutar comandos como administrador (mediante los comandos «su» o «sudo»). Verdadero Falso 187.- El archivo «.bash_history», es el archivo el cual se encuentra en la carpeta del usuario y almacena el historial de comandos ejecutados en la consola del equipo. Verdadero Falso 188.- La carpeta «/var/log/»contiene toda la lista de archivos logs del sistema operativo. Podemos ver que se escribe en cada uno de estos archivos leyendo el fichero de configuración «/etc/rsyslog.conf». Verdadero Falso 189.- La carpeta «/var/spool/cron/crontabs» es en la cual se almacenan las tareas programadas de cada uno de los usuarios del sistema. Verdadero Falso 190.- Cuando tengamos que analizar un sistema operativo Mac OS hay una serie de archivos y carpetas con especial interés. Estos son: a) Carpeta «/private/var/vm» y Carpeta «/private/var/log». b) Carpetas «/Library/», «/Users/[username]/Library/» y «/System/Library/» y Archivos con extension «*.plist». c) Carpetas «/private/var/db/shadow», «/Library/Keychains/» y «/Network/Library/Keychains/». d) Todas las anteriores e) Ninguna de las anteriores 191.- La Carpeta «/private/var/vm» contiene los archivos «sleepimage» y «swapfile», similares a los archivos de paginación e hibernación en sistemas Windows. Verdadero Falso 192.- La Carpeta «/private/var/log» contiene los logs del sistema operativo. También es posible encontrar ficheros de log (archivos con extensión *.log) en otras rutas, como la carpeta «/Users/[username]/Library/Logs» que contiene los logs correspondientes al usuario. Verdadero Falso 193.- Los Archivos con extension «*.plist» son archivos en formato XML que almacenan información similar a la contenida en el registro de un sistema Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 23 de 26
Windows. Verdadero Falso 194.- Las Carpetas «/private/var/db/shadow», «/Library/Keychains/» y «/Network/Library/Keychains contiene las contraseñas de acceso al equipo y las guardadas por el usuario (redes Wifi, exploradores, etc.). Verdadero Falso Tema 1 1. ¿Cuáles de las siguientes definiciones se corresponden con la definición de informática forense? A. La informática forense es un proceso de investigación. B. Las evidencias que obtengamos de un análisis forense deben de poder ser presentadas como medio de prueba. C. Algunos autores catalogan la informática forense como un arte. D. Todas las anteriores son correctas. 2. Una evidencia digital A. No almacena información en formato electrónico, ya que lo almacena de forma física. B. Permite constatar un hecho investigado o ayuda a su esclarecimiento. C. No almacenan información en ningún formato. D. Almacena información en formato electrónico de forma física o lógica. 3. Cuál de estos NO es un objetivo de un análisis forense: A. Averiguar qué se ha alterado. B. Descubrir por qué se ha realizado la alteración. C. Saber cómo se ha realizado la alteración. D. Descubrir quién ha realizado la alteración. 4. Cuando intentamos responder a la pregunta «¿Quién ha realizado la alteración?»... A. B. C. D.
Tenemos que descubrir a la persona física responsable de la alteración. Podemos llegar a descubrir el usuario que realizó la modificación. Podemos obtener la dirección IP o MAC del equipo desde el que se realizó la alteración. Las respuestas B y C son correctas.
5. Las etapas de un análisis forense son: A. Recolectar, reservar, analizar y presentar. B. Recolectar, preservar y analizar. C. Recolectar, preservar, analizar y presentar. D. Recolectar, preservar y presentar. 6. Durante la etapa de recolección, lo que se busca es: A. Garantizar que lo que se analiza es lo que se ha recolectado. B. Obtener las evidencias que son consideradas de interés. C. Responder a la pregunta «¿Cómo se ha alterado?». D. Ninguna de las anteriores es correcta.
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 24 de 26
7. La recolección de las evidencias A. Tiene que hacerse con medios que aseguren, en la medida de lo posible, la no modificación de las mismas. B. Es necesario documentar los cambios que se hayan tenido que realizar en el equipo si no ha sido posible evitar su modificación. C. Es el primer paso que se da a la hora de realizar un análisis forense. D. Todas las anteriores son correctas. 8. Durante el análisis de las evidencias A. Se intenta responder a la pregunta «¿Qué se ha alterado?», el resto de preguntas se responden durante la recolección. B. El análisis de las evidencias es el paso previo al estudio de las mismas. C. Se estudian las evidencias que han sido recolectadas y preservadas previamente. D. Ninguna de las anteriores. 9. En un informe pericial se tienen que detallar: A. El equipo informático objeto del mismo. Si en lugar de un equipo, es cualquier otro dispositivo, no se detalla. B. Los procedimientos realizados por los peritos. Los resultados obtenidos se han de comentar en el acto del juicio oral. C. Los procedimientos realizados por los peritos y sus resultados. D. Ninguna de las anteriores. 10. Los objetivos de la cadena de custodia son: A. Garantizar la integridad de la evidencia. B. Garantizar la posibilidad de localización de la evidencia. C. Garantizar la trazabilidad de los accesos a la evidencia. D. Todas las anteriores son correctas.
Tema 2 1. ¿Qué es un sistema de ficheros? A. Es la forma en la que se distribuyen los ficheros de un dispositivo. B. Es la forma en que se organiza, gestiona y mantiene la jerarquía de ficheros. C. Es la forma en la que se organizan las jerarquías de ficheros. D. Ninguna de las anteriores es correcta. 2. Los sistemas de ficheros evitan que los programas tengan que conocer la ubicación física de un fichero. A. Verdadero. B. Falso. 3. Cuando eliminamos un archivo A. No lo borramos físicamente. B. Según el sistema de ficheros utilizado, indicamos que el espacio que ocupaba se encuentra ahora libre. C. Lo borramos físicamente. D. Las respuestas A y B son correctas. 4. La sobrescritura del espacio que utilizaba un archivo eliminado A. Hace que su recuperación total sea imposible. B. Permite recuperar el archivo, pero no los datos asociados al mismo. C. Permite recuperar completamente el archivo.
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 25 de 26
D. Ninguna de las respuestas es correcta. 5. Si eliminamos un archivo, vaciamos la papelera de reciclaje (o similares) y se sobrescribe el enlace al archivo del índice, podemos recuperar: A. Solo el archivo, sin los datos asociados al mismo. B. Solo el archivo, pero parcialmente, pues se ha sobrescrito el enlace al archivo en el índice. C. El archivo y los datos asociados al mismo. D. No podemos recuperar nada. 6. La firma de un archivo se suele encontrar al principio del mismo y es independiente de la extensión. A. Verdadero. B. Falso. 7. La recuperación en bruto A. Consiste en buscar los archivos por la extensión de los mismos. B. Consiste en leer los espacios del disco duro marcados como libres y buscar en los mismos, firmas de archivos conocidas. C. Consiste en leer del índice los archivos marcados como borrados. D. Ninguna de las anteriores es correcta. 8. Los metadatos son datos que describen otros datos. A. Verdadero. B. Falso. 9. Los metadatos se pueden encontrar en A. Prácticamente todo tipo de archivos. B. Solo en archivos ofimáticos. C. Solo en archivos de imagen y ofimáticos. D. No suelen existir metadatos en los archivos. 10. Todos los archivos tienen los mismos metadatos asociados. A. Verdadero. B. Falso.
Tema 3 1. ¿Qué dos grandes grupos de evidencias digitales existen? A. Volátiles y cambiantes. B. Cambiantes y no volátiles. C. Volátiles y no volátiles. D. Cambiantes y no cambiantes. 2. En cuanto a las evidencias A. Las evidencias no volátiles son aquellas que cambian con facilidad. B. La memoria RAM es una evidencia no volátil. C. Las evidencias no volátiles son aquellas que no cambian con facilidad. D. Un disco duro es un tipo de evidencia cambiante. 3. En cuanto al orden de volatilidad de las evidencias A. Un disco duro es más volátil que la memoria RAM. B. Los datos almacenados en dispositivos removibles son más volátiles que la caché de la CPU. C. La memoria RAM es más volátil que los datos almacenados remotamente.
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 26 de 26
D. Ninguna de las anteriores es correcta. 4. A la hora de acotar la escena del crimen debemos de tener en cuenta A. Los equipos que no tienen que ver con el incidente. B. Los equipos que han sufrido de manera directa el incidente. C. Todos los equipos son importantes. D. Ninguna de las anteriores es correcta. 5. Cuando adquirimos la memoria RAM: A. El programa que utilicemos para su adquisición modificará la propia memoria RAM. B. La memoria RAM no se adquiere, pues es una evidencia volátil. C. La memoria RAM no se adquiere, pues es una evidencia no volátil. D. El programa que utilicemos para su adquisición no la modificará. 6. Del análisis de la memoria RAM podemos obtener: A. Contraseñas de acceso (en claro o el hash de las mismas). B. Documentos abiertos por el usuario, aunque no se hubieran guardado. C. Imágenes que se estuvieran visualizando. D. Todas las anteriores son correctas. 7. Durante la adquisición de evidencias volátiles A. Podemos utilizar los propios programas instalados en el equipo. B. Debemos de tener cuidado al utilizar programas instalados, pero podemos utilizarlos. C. Utilizaremos programas independientes del equipo a examinar. D. No hace falta utilizar ningún programa para adquirir las evidencias volátiles. 8. La adquisición de evidencias no volátiles A. Se hace siempre en frío. B. Se hace siempre en caliente. C. Se hace en frío o en caliente en función de diversos factores. D. No importa si se realiza en frío o en caliente, el resultado es el mismo. 9. Una función hash A. Para cada entrada generará una salida única. B. Cualquier mínima alteración en la entrada, hará que la salida cambie. C. A partir de la salida, es imposible obtener la entrada. D. Todas las anteriores son correctas.
10. El proceso de adquisición de una evidencia es: A. Hash a la evidencia original, adquisición, hash a la evidencia original y a la copia. B. Hash a la evidencia original, adquisición, hash a la evidencia original. C. Hash a la evidencia original, adquisición, hash a la copia. D. Adquisición, hash a la evidencia original y a la copia.
tema 4 1. La identificación de volúmenes cifrados, ¿a qué fase del análisis pertenece? A. Durante el análisis no se identifican los volúmenes cifrados.
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 27 de 26
B. Al post-análisis. C. A la fase de análisis. D. A la fase de pre-análisis. 2. ¿Cuál es el objetivo de realizar un hash a los archivos contenidos en la evidencia? A. Comprobar si en los archivos que vamos a analizar coincide lo que la extensión indica con el contenido del archivo. B. Filtrar los archivos a analizar, pudiendo categorizarlos en «malos» y «buenos». C. Es contraproducente la realización de un hash a los archivos contenidos en la evidencia. D. Ninguna de las anteriores es correcta. 3. Respecto a la búsqueda de palabras clave: A. En ocasiones nos podemos encontrar con análisis en los que es necesario obtener documentos relacionados con determinadas palabras. B. Es una tarea perteneciente a la fase de pre-análisis. C. No se usa para buscar documentos en los que se mencione a personas. D. Es una tarea perteneciente a la fase de post-análisis. 4. Respecto de la identificación de las máquinas virtuales: ¡Correcto! A. Si nos encontramos con un disco duro virtual, procederemos a analizarlo como si de una máquina distinta se tratara. B. No es necesario identificar las máquinas virtuales. C. Es una tarea perteneciente a la etapa de «análisis». D. Ninguna de las anteriores son correctas. 5. Durante el análisis del sistema operativo: A. Tenemos que responder a preguntas como: ¿es una versión no oficial o hay alguna actualización que no lo sea? B. Se realiza un análisis de seguridad para determinar si el equipo se encuentra infectado por algún virus. C. Obtenemos los dispositivos que han sido conectados al equipo. D. Todas las respuestas son correctas. 6. Durante el análisis de los componentes de red: A. Obtenemos la lista de programas que permitan realizar el hecho que se está investigando. B. Los componentes de red no se analizan. C. Obtenemos la lista de páginas web visitadas por el usuario. D. Ninguna de las anteriores es correcta.
7. Referido a los archivos de interés en Windows: A. Son los mismos que en Linux y MacOS. B. Los más importantes son «el registro de Windows», «los archivos de eventos» y «los archivos de paginación e hibernación». C. No proporcionan apenas información de interés. D. Son los mismos que en MacOS. 8. El registro de Windows: A. Es uno de los archivos de interés del sitema operativo Windows. B. Es una gran base de datos donde se almacena información.
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 28 de 26
C. Las respuestas A y B son correctas. D. Windows no dispone de registro. 9. Los archivos de interés en Linux: A. Son los mismos que los de Windows. B. Son los mismos que los de Windows y MacOS. C. La partición de intercambio «swap» no es uno de ellos. D. Ninguna de las anteriores es correcta. 10. Los archivos de interés en MacOS: A. La carpeta «/private/var/vm» contiene los archivos «sleepimage» y «swapfile», similares a los archivos de paginación e hibernación en sistemas Windows. B. Son los mismos que los de Windows. C. MacOS no almacena archivos de logs. D. No contienen información sobre las contraseñas almacenadas por los usuarios.
Cuestionario Guía de Examen (UNIR)
© Universidad Internacional de La Rioja, S. A.
Página 29 de 26