Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Actividades
Como perito usted recibe un archivo .ZIP que contiene los siguientes archivos:
• Config.ad1 y Config.ad1.txt
• Users.ad1 y Users.ad1.txt
• Winevt.ad1 y Winevt.ad1.txt
• Directory Listing.csv
Los archivos con extensión .ad1 son imágenes lógicas de las carpetas:
“Windows\System32\Config”, “Users\” y “Windows\System32\Winevt”
respectivamente, mientras que el archivo “Directory Listing.csv” es un listado completo
de los archivos y carpetas del equipo.
El motivo por el cual no recibe una imagen forense de todo el contenido del disco duro
del equipo es porque el juez únicamente ha autorizado el análisis de los componentes
facilitados, por lo que debe basar todo su estudio únicamente en los archivos que se le
han facilitado.
Nota: Cualquier hora que indique, debe ir acompañada de la zona horaria en la que
se encuentra.
TEMA 4 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Martínez Cáceres
Análisis forense 13 de febrero de 2019
Nombre: Carlos Fernando
¿Qué usuarios han iniciado sesión en el equipo? y ¿Cuál ha sido la fecha (y hora) de
último acceso de estos usuarios?
• Nombre del usuario: Joaquín López
• Fecha y hora de inicio de sesión: 29/04/2018 y 09:35:47
Se sospecha que uno de los usuarios del sistema modificó su cuenta para obtener
privilegios de administración. Analizando los registros de eventos indique: ¿Qué
usuario fue? y ¿En qué fecha y hora realizó dicha modificación’
• Nombre del usuario: F4k3 Us3r
• Fecha y hora de la modificación: 29/04/2018 y 09:12:05
Analizando los registros de eventos, indique: Los encendidos y apagados del sistema y
los inicios y cierres de sesión de los usuarios
• Fecha y hora: 2018-04-28T16:52:29.496011100Z.
• Tipo de evento: Inicio de sesión /12
• Usuario: \SYSTEM
TEMA 4 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Martínez Cáceres
Análisis forense 13 de febrero de 2019
Nombre: Carlos Fernando
TEMA 4 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Martínez Cáceres
Análisis forense 13 de febrero de 2019
Nombre: Carlos Fernando
Analizando los registros de eventos, responda a las siguientes preguntas sobre los
posibles cambios en la fecha y hora del sistema.
• Se ha realizado algún cambio en la fecha y hora del sistema: Si
• ¿Qué usuario ha realizado dicho cambio?:
\S-1-5-21-909336113-1871740034-429646924-1002
• ¿Qué fecha y hora era originalmente?:
2018-04-29T09:28:56.896893300Z
• ¿Qué nueva fecha y hora se indicó?:
2018-04-29T09:28:56.909000000Z
• ¿Se revirtió el sistema a la fecha y hora real?:
SI
El sistema disponía del navegador Internet Explorer y Microsoft Edge. Aun así, se
sospecha que uno de los usuarios instaló un navegador web alternativo. Analizando las
evidencias facilitadas: ¿Qué navegador alternativo se instaló?, ¿Qué usuario instaló
dicho navegador? Por último, obtenga el historial de navegación del navegador y
adjúntelo.
El navegador alternativo que se instalo es Google Chrome
El usuario que instalo es F4k3 Us3r
Historial de la navegación
TEMA 4 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Martínez Cáceres
Análisis forense 13 de febrero de 2019
Nombre: Carlos Fernando
TEMA 4 – Actividades