Scribd Logo
Carica

Benvenuto in Scribd!

  • Segsoftt 2 Trab

    Caricato da

    TecSoft Riobamba
    135 visualizzazioni5 pagine
    El documento proporciona instrucciones para analizar evidencia forense de un sistema Windows 10. Se analizan registros de eventos, usuarios, instalación de software y navegación para identificar actividades sospechosas como modificación de privilegios de usuario, cambios de fecha/hora, instalación de keylogger y navegador alternativo. El análisis identifica a los usuarios F4k3 Us3r y \S-1-5-21-909336113-1871740034-429646924-1002 como responsables de estas actividades.

    Descrizione originale:

    Análisis Forense de un equipo Windows 10 Descripción y

    Titolo originale

    segsoftt2trab (1)

    Copyright

    © © All Rights Reserved

    Formati disponibili

    PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    El documento proporciona instrucciones para analizar evidencia forense de un sistema Windows 10. Se analizan registros de eventos, usuarios, instalación de software y navegación para identificar actividades sospechosas como modificación de privilegios de usuario, cambios de fecha/hora, instalación de keylogger y navegador alternativo. El análisis identifica a los usuarios F4k3 Us3r y \S-1-5-21-909336113-1871740034-429646924-1002 como responsables de estas actividades.

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    135 visualizzazioni5 pagine

    Segsoftt 2 Trab

    Caricato da

    TecSoft Riobamba
    El documento proporciona instrucciones para analizar evidencia forense de un sistema Windows 10. Se analizan registros de eventos, usuarios, instalación de software y navegación para identificar actividades sospechosas como modificación de privilegios de usuario, cambios de fecha/hora, instalación de keylogger y navegador alternativo. El análisis identifica a los usuarios F4k3 Us3r y \S-1-5-21-909336113-1871740034-429646924-1002 como responsables de estas actividades.

    Copyright:

    © All Rights Reserved
    Scarica in formato PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 5

    Asignatura Datos del alumno Fecha

    Apellidos: Martínez Cáceres


    Análisis forense 13 de febrero de 2019
    Nombre: Carlos Fernando

    Actividades

    Trabajo: Análisis Forense de un equipo Windows 10

    Descripción y pautas de la actividad

    El objetivo de esta actividad es realizar el análisis forense de los elementos más


    importantes de un Sistema Operativo Windows.

    Como perito usted recibe un archivo .ZIP que contiene los siguientes archivos:
    • Config.ad1 y Config.ad1.txt
    • Users.ad1 y Users.ad1.txt
    • Winevt.ad1 y Winevt.ad1.txt
    • Directory Listing.csv

    Los archivos con extensión .ad1 son imágenes lógicas de las carpetas:
    “Windows\System32\Config”, “Users\” y “Windows\System32\Winevt”
    respectivamente, mientras que el archivo “Directory Listing.csv” es un listado completo
    de los archivos y carpetas del equipo.

    El motivo por el cual no recibe una imagen forense de todo el contenido del disco duro
    del equipo es porque el juez únicamente ha autorizado el análisis de los componentes
    facilitados, por lo que debe basar todo su estudio únicamente en los archivos que se le
    han facilitado.

    Para realizar la práctica debe responder a las preguntas planteadas en la plantilla


    (adjunta en la siguiente página). Simplemente debe contestar a lo que se le pregunta.

    Nota: Cualquier hora que indique, debe ir acompañada de la zona horaria en la que
    se encuentra.

    TEMA 4 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos: Martínez Cáceres
    Análisis forense 13 de febrero de 2019
    Nombre: Carlos Fernando

    ¿Cuál es el hash SHA1 del archivo? ¿ZIP facilitado?


    ac1eeb755dc39046a28ce04686ece8134aa3ac01

    ¿En qué fecha se instaló el Sistema Operativo Windows 10?


    28/04/2018 16:55:00

    ¿Qué usuarios han iniciado sesión en el equipo? y ¿Cuál ha sido la fecha (y hora) de
    último acceso de estos usuarios?
    • Nombre del usuario: Joaquín López
    • Fecha y hora de inicio de sesión: 29/04/2018 y 09:35:47

    • Nombre del usuario: F4k3 Us3r


    • Fecha y hora de inicio de sesión: 29/04/2018 y 09:29:46

    Se sospecha que uno de los usuarios del sistema modificó su cuenta para obtener
    privilegios de administración. Analizando los registros de eventos indique: ¿Qué
    usuario fue? y ¿En qué fecha y hora realizó dicha modificación’
    • Nombre del usuario: F4k3 Us3r
    • Fecha y hora de la modificación: 29/04/2018 y 09:12:05

    Analizando los registros de eventos, indique: Los encendidos y apagados del sistema y
    los inicios y cierres de sesión de los usuarios
    • Fecha y hora: 2018-04-28T16:52:29.496011100Z.
    • Tipo de evento: Inicio de sesión /12
    • Usuario: \SYSTEM

    • Fecha y hora: 2018-04-28T16:54:34.489795500Z.


    • Tipo de evento: Inicio de sesión / 12
    • Usuario: \SYSTEM

    • Fecha y hora: 2018-04-29T09:09:11.493543300Z.


    • Tipo de evento: Inicio de sesión / 12
    • Usuario: \SYSTEM

    • Fecha y hora: 2018-04-29T09:29:35.490575400Z.


    • Tipo de evento: Inicio de sesión / 12
    • Usuario: \SYSTEM

    TEMA 4 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos: Martínez Cáceres
    Análisis forense 13 de febrero de 2019
    Nombre: Carlos Fernando

    • Fecha y hora: 018-04-29T09:29:27.434640100Z


    • Tipo de evento: Cierre de sesión / 13
    • Usuario: N/A

    • Fecha y hora: 2018-04-28T17:02:02.930014700Z


    • Tipo de evento: Cierre de sesión / 13
    • Usuario: N/A

    • Fecha y hora: 2018-04-28T16:54:24.583173900Z


    • Tipo de evento: Cierre de sesión / 13
    • Usuario: N/A

    • Fecha y hora: 29/04/2018 y 4:29:41


    • Tipo de evento: Encendido / 6005
    • Usuario: N/A

    • Fecha y hora: 29/04/2018 y 4:09:19


    • Tipo de evento: Encendido / 6005
    • Usuario: N/A

    • Fecha y hora: 28/04/2018 y 11:54:45


    • Tipo de evento: Encendido / 6005
    • Usuario: N/A

    • Fecha y hora: 28/04/2018 y 11:52:48


    • Tipo de evento: Encendido / 6005
    • Usuario: N/A

    • Fecha y hora: 29/04/2018 y 4:37:06


    • Tipo de evento: Apagado / 6006
    • Usuario: N/A

    • Fecha y hora: 29/04/2018 y 4:29:22


    • Tipo de evento: Apagado / 6006
    • Usuario: N/A

    • Fecha y hora: 28/04/2018 y 12:01:59


    • Tipo de evento: Apagado / 6006
    • Usuario: N/A

    • Fecha y hora: 28/04/2018 y 11:54:22


    • Tipo de evento: Apagado / 6006
    • Usuario: N/A

    TEMA 4 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos: Martínez Cáceres
    Análisis forense 13 de febrero de 2019
    Nombre: Carlos Fernando

    Analizando los registros de eventos, responda a las siguientes preguntas sobre los
    posibles cambios en la fecha y hora del sistema.
    • Se ha realizado algún cambio en la fecha y hora del sistema: Si
    • ¿Qué usuario ha realizado dicho cambio?:
    \S-1-5-21-909336113-1871740034-429646924-1002
    • ¿Qué fecha y hora era originalmente?:
    2018-04-29T09:28:56.896893300Z
    • ¿Qué nueva fecha y hora se indicó?:
    2018-04-29T09:28:56.909000000Z
    • ¿Se revirtió el sistema a la fecha y hora real?:
    SI

    • Se ha realizado algún cambio en la fecha y hora del sistema: Si


    • ¿Qué usuario ha realizado dicho cambio?:
    \S-1-5-21-909336113-1871740034-429646924-1002
    • ¿Qué fecha y hora era originalmente?:
    2018-04-29T08:30:21.991115800Z
    • ¿Qué nueva fecha y hora se indicó?:
    2018-04-29T09:28:56.909000000Z
    • ¿Se revirtió el sistema a la fecha y hora real?:
    NO

    Se sospecha que en el sistema se descargó e instaló un software para el registro de las


    teclas pulsadas (keylogger). Analizando las evidencias facilitadas, indique: ¿Qué
    usuario descargó e instaló el software?, ¿En qué fecha y hora descargó e instaló el
    mismo? y ¿Llegó dicho software a ejecutarse y a registrar algún tipo de información?
    • Nombre del usuario: \S-1-5-21-909336113-1871740034-429646924-1002
    • Fecha y hora de la descarga: 29/04/2018 y 08:24:54
    • Fecha y hora de la instalación: 29/04/2018 y 03:28:19
    • Llegó dicho software a registrar algún tipo de información:
    • ¿Qué registro información registró?:

    El sistema disponía del navegador Internet Explorer y Microsoft Edge. Aun así, se
    sospecha que uno de los usuarios instaló un navegador web alternativo. Analizando las
    evidencias facilitadas: ¿Qué navegador alternativo se instaló?, ¿Qué usuario instaló
    dicho navegador? Por último, obtenga el historial de navegación del navegador y
    adjúntelo.
    El navegador alternativo que se instalo es Google Chrome
    El usuario que instalo es F4k3 Us3r
    Historial de la navegación

    TEMA 4 – Actividades
    Asignatura Datos del alumno Fecha
    Apellidos: Martínez Cáceres
    Análisis forense 13 de febrero de 2019
    Nombre: Carlos Fernando

    TEMA 4 – Actividades

    Potrebbero piacerti anche