Aqui les ponemos las respuesta del Quiz ... esperamos que les haya gustado, lamentablemente no hubo ganadores :(
1. De manera predeterminada ¿cuál es el tamaño de un registro de la $MFT?
R= De manera predeterminada un registro de MFT es de 1024 bytes de longitud, si un archivo es lo suficientemente pequeño su contenido se almacena dentro del registro de la MFT justo a un lado de su metadata de otra forma, existirá un puntero indicando cuales clusters contienen la información
R= De manera predeterminada un registro de MFT es de 1024 bytes de longitud, si un archivo es lo suficientemente pequeño su contenido se almacena dentro del registro de la MFT justo a un lado de su metadata de otra forma, existirá un puntero indicando cuales clusters contienen la información
2. Hablando de VSS ¿cuál es el porcentaje máximo del total de tamaño del que un volume shadow copy puede ocupar en Windows Vista y Win7?
R= Las limitaciones de un VSS de forma predeterminada para WinVista es del 15% total del disco y para Win7 3-5%
R= Las limitaciones de un VSS de forma predeterminada para WinVista es del 15% total del disco y para Win7 3-5%
3. En el tweet que fue posteado el 04/02/15 se muestra la siguiente pantalla:
Si bien los dos comandos indican la capacidad de la RAM, la información mostrada por systeminfo es menor a la que wmic muestra, explica ¿por qué?
R= La discrepancia se puede entender de la siguiente manera: el comando Wmic muestra el total de la memoria RAM instalada en el sistema mientras que el comando systeminfo muestra la memoria usable que se calcula como Memoria Total menos la memoria reservada para el hardware.
R= La discrepancia se puede entender de la siguiente manera: el comando Wmic muestra el total de la memoria RAM instalada en el sistema mientras que el comando systeminfo muestra la memoria usable que se calcula como Memoria Total menos la memoria reservada para el hardware.
4. Explica que indicadores dan las siguientes pantallas de que este proceso es malicioso:
R= En la imagen mostrada hay
ciertos indicadores bastantes claros de que este proceso es malicioso,
comenzado por el Parent Porcess (PSEXESVC.EXE) , para un svchost.exe el PP
siempre debe ser services, cualquier otra cosa mostrada es un fuerte indicio de
un proceso que deberíamos analizar con más calma, lo siguiente son los
argumentos del svchost.exe, si este fuera un proceso legitimo debería estar
acompañado de algo como svchost.exe –k netsvcs , también sería bueno verificar
la hora de inicio de otros scvhost.exe usualmente todos arrancan en tiempos
iguales, sin embargo no podemos definir esto desde estas pantallas y por último
el Security ID del usuario desde el cual es llamado el svchost es de un usuario
standard lo cual es altamente inusual para este tipo de procesos.
5. Si quisiera montar una imagen E01 en Linux con la capacidad de ver los archivos de sistema (como la $MFT) y ver la estructura de los archivos como un usuario los vería normalmente en Windows ¿Qué comando o comandos utilizaría?
R= Para obtener los resultados por lo general yo utilizo mount -o ro,loop,show_sys_files,streams_interface=windows /mnt/ewf/<nombre de la imagen raw> /mnt/windows_mount
6. ¿Cuál es la mejor manera de saber si un archivo ".exe" fue ejecutado? (Considere que pudo haber técnicas antiforense) ¿Dónde buscaría, o que comandos ejecutaria?...La respuesta más ingeniosa y completa gana esta pregunta extra
para esta pregunta no habia una respuesta exacta por lo cual no podemos poner la respuesta correcta
R= Para obtener los resultados por lo general yo utilizo mount -o ro,loop,show_sys_files,streams_interface=windows /mnt/ewf/<nombre de la imagen raw> /mnt/windows_mount
·
Show_sys_files: esta opción muestra los metafiles de los
listados de directorios, es decir vamos a poder ver archivos utilizados
para almacenar la estructura de NTFS o FAT que normalmente
no estarían visibles por ejemplo la $MFT.
·
Streams_interface=windows: esta opción controla como el usuario
puede acceder a Alternate Data Streams (ADS) al utilizar la opción=Windows les
va a permitir visualizar los archivos como comúnmente se verían en Windows.
6. ¿Cuál es la mejor manera de saber si un archivo ".exe" fue ejecutado? (Considere que pudo haber técnicas antiforense) ¿Dónde buscaría, o que comandos ejecutaria?...La respuesta más ingeniosa y completa gana esta pregunta extra
para esta pregunta no habia una respuesta exacta por lo cual no podemos poner la respuesta correcta
No hay comentarios.:
Publicar un comentario
Déjanos tu opinion