EXAMEN FINAL 1/2017 – INFORMÁTICA FORENSE (COD EX.

070717)

APELLIDOS Y NOMBRES:………………………………………………………………………………………………………………….…………….
CI:………………………………………………………..

1. Liste 5 casos de informática forense y su penalidad de cárcel

 manipulacion de datos-> dependiendo del impacto 1 a 5 años
 alteracion de datos -> 1 año con multa de 1000 bolivianos
 capturacion de datos informáticos -> 36 a 72 meses a nivel intenacional
 violacion de datos personales 4-> 8 a 46 meses
 suplantacion de información -> 48 a 46 meses

2. Liste las medidas de precaución que se debe de tomar en cuenta al momento de realizar un análisis forense

 Asegurar el area del delito

 Instructivos firmados de instancias superiores
 Ver el tipo de delito que se cometio
 Especificar y explicar el metodo de toma muestras del modo en que se tomara
 Especificar si la captura de evidencias será en caliente o en frio en frio
 Uso de guantes y ropa adecuada para no dejar evidencia de las huellas dactilares del investigador forense
 Seguir los pasos de la cadena de custodia

3. Explique Los métodos de toma de robo datos y sus características

 Sqlmap-> se cararacteriza por usar una direccion web de tipo get
 injeccion de código -> se caracteriza por usar la consola web
 robobrowser -> se caracteriza por usar el navegador asiendole creer que esta en una web segura
 exploit -> Se caracterizan por usar cosas o articulos de uso personal ejemplo una mujer x que mira articulos de
ropa el atacante manda un exploit sobre un nuevo articulo

4. Relacione el principio de LOCARD con un ejemplo de informática forense

Es fácil, tiene que hacer cualquier ejemplo que vincule estos cuatro

5. Esquematice la RFC3227
6. ¿Cómo se puede evidenciar que un archivo no ha sido modificado desde el momento de la captura de la evidencia?
Lo mas efectivo es hacer HASH de cada evidencia
Los log son también buena opción.

7. ¿Cómo se estructura el registro de Windows y que información importante se puede tomar de ahí para un análisis
forense?

 HKEY_CLASSES_ROOT: Es un enlace hacia HKEY_LOCAL_MACHINE\SOFTWARE\Classes, contiene enlaces entre las

aplicaciones y los tipo de archivos así como información sobre OLE.
 HKEY_CURRENT_USER: Es un enlace hacia HKEY_USERS\<SID of User>, contiene información de configuración acerca
de los usuarios actualmente conectados (entorno, conexiones de red, impresoras, etc.)
 HKEY_LOCAL_MACHINE: Contiene información acerca de la configuración del hardware así como sobre los programas
instalados.
 HKEY_USERS: Contiene información acerca de los perfiles de los usuarios del equipo, incluido el perfil de usuario por
defecto.
 HKEY_CURRENT_CONFIG: Es un enlace hacia HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware
Profiles\Current, contiene información acerca de la configuración actual

8. Explique técnicamente de qué manera se puede parar un ransomware

 Nos dirigimos al regegistro de windows y ingresamos a las directivas de HKEY_CURRENT_USER: Es un

enlace hacia HKEY_USERS\<SID of User>, contiene información de configuración acerca de los usuarios
actualmente conectados (entorno, conexiones de red, impresoras, etc.ingresamos a la parte de software y
buscamos el rasomware una ves encontrado sacamos un bakup de ese registro y luego lo eliminamos del
computador para que continue la infecion

 Ingresar al sistema operativo en modo seguro y eliminar el registro de instalacion del rasomware desde el
regedit HKEY_CURRENT_USER: Es un enlace hacia HKEY_USERS\<SID of User>, contiene información de
configuración acerca de los usuarios actualmente conectados (entorno, conexiones de red, impresoras, etc.

9. Escriba un comando para poder ver el historial de dispositivos USB conectados recientemente
 set devmgrshownonpresent_devices=1

start devmgmt.msc

10. De qué manera se puede interpretar un volcado de memoria

El volcado de memoria es una imagen real de la computadora del momento de su captura a lo que se interpreta de manera
hexadecial, es decir con un editor hexadecimal podemos explorar ese volcado de memoria