ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Fuga de información

javiveroTrabajo5 de Junio de 2023

2.475 Palabras (10 Páginas)229 Visitas

Página 1 de 10

Asignatura

Datos del alumno

Fecha

Informática Forense y Respuesta Ante Incidentes

Apellidos:

Nombre:

[pic 1]

[pic 2]

[pic 3][pic 4]

Contenido

1. ¿Cuál es el hash (SHA1) de los dispositivos analizados?        4

2. ¿Qué sistema operativo tenía el equipo instalado? ¿En qué fecha y en qué hora se instaló? ¿Quién es el propietario del sistema?        4

3. ¿Cuál es el ajuste horario del equipo?        4

4. Enumere todas las cuentas de usuario del sistema (excepto las propias del Sistema Operativo como: Administrator, Guest, etc.)        4

5. ¿Quién fue el último usuario en iniciar sesión en el equipo?        4

6. ¿Cuándo fue la última fecha y hora de apagado del equipo?        5

7. ¿Cuál fue la última dirección IP asignada al equipo? ¿Se asignó por DHCP?        5

8. ¿Qué aplicaciones instaladas tenía el equipo?        5

9. ¿Qué navegadores de Internet se utilizaban?        6

10. ¿A qué sitios web se accedió y en qué hora?        6

11. ¿Qué búsquedas se realizaron a través de los buscadores de Internet?        7

12. ¿Qué búsquedas realizó el usuario a través de la barra de búsqueda del explorador de Windows?        7

13. ¿Qué aplicación utilizaba para el envío y la recepción de correos electrónicos?        8

14. ¿Qué cuentas de correo se encontraban configuradas?        8

15. ¿Qué dispositivos de almacenamiento externo se conectaron al equipo?        8

16. ¿Cuál es la dirección IP de la unidad de red compartida de la empresa?        8

17. Enumere todos los archivos que se abrieron en la unidad de red de la empresa.        8

18. Encuentre en el PC rastros relacionados con los servicios en la nube (nombre del servicio, archivos de registro...).        9

19. ¿Qué archivos se eliminaron de Google Drive? (Sugerencia: busca un archivo de registro de transacciones de Google Drive).        10

20. Identificar la información de la cuenta utilizada para sincronizar Google Drive.        10

21. ¿Qué software se utilizó para grabar el CD?        10

22. ¿Cuándo grabó el sospechoso el CD?        10

23. Identifique todas las marcas de tiempo relacionadas con un archivo de renuncia (en formato DOCX) en el escritorio de Windows.        10

24. ¿Cómo y cuándo imprimió el sospechoso un archivo de renuncia?        11

25. ¿Dónde se encuentran los archivos de la aplicación Sticky Note (notas)? Identifique las notas almacenadas.        11

26. ¿Qué acciones se llevaron a cabo para complicar el análisis forense del equipo el día 25 de marzo de 2015?        11

27. Recupere los archivos borrados de los USB. ¿Hay algún archivo de interés?        12

28. ¿Qué archivos se copiaron del PC a los USB?        12

29. Recupere los archivos ocultos del CD. ¿Hay algún archivo de interés?        12

30. Examine la papelera de reciclaje del PC ¿Hay algún archivo de interés?        12

1. ¿Cuál es el hash (SHA1) de los dispositivos analizados?

Se utilizó el FTK Imager para obtener los hash SHA1 de cada una de las imágenes que se entregaron:

[Computer] Cfreds_2015_data_leakage_pc.E01:         afe5c9ab487bd47a8a9856b1371c2384d44fd785

[USB 1]   Cfreds_2015_data_leakage_rm#1.E01:                f6bb840e98dd7c325af45539313fc3978fff812c

[USB 2]         cfreds_2015_data_leakage_rm#2.E01:                 048961a85ca3eced8cc73f1517442d31d4dca0a3

[CD]:        cfreds_2015_data_leakage_rm#3.E01:                471d3eedca9add872fc0708297284e1960ff44f8

2. ¿Qué sistema operativo tenía el equipo instalado? ¿En qué fecha y en qué hora se instaló? ¿Quién es el propietario del sistema?

Por medio de Autopsy, en los datos de artefactos generados, ítem “Operating System Information”, se identificó el Sistema Operativo el cual es “Windows 7 Ultimate Service Pack 1” del propietario “informant”. En la herramienta “Windows Registry Recovery” en la ruta SOFTWARE / “Windows Installation” igualmente se confirma la anterior información y se encuentra la fecha y hora de instalación la cual es el “22/03/2015 2:34:26 pm”.

3. ¿Cuál es el ajuste horario del equipo?

De Autopsy se descargó la carpeta Config de la ruta “Windows/System32”. Se instaló la herramienta “Windows Register Recovery” que permite leer los archivos de registro obtenidos; se cargó el archivo “SYSTEM” que se encontraba en la carpeta Config. Posterior, en la opción “Raw Data” en la ruta “ControlSet001/Control/TimeZoneInformation” se identificó la cadena “TimeZoneKeyName” con el valor “Eastern Standard Time” el cual corresponde al ajuste horario del equipo.

4. Enumere todas las cuentas de usuario del sistema (excepto las propias del Sistema Operativo como: Administrator, Guest, etc.)

En Autopsy, en los datos de artefactos generados, ítem “OS Accounts”, se identificaron las siguientes cuentas de usuario del sistema: Informant, Admin11, Temporary, ITechTeam.

5. ¿Quién fue el último usuario en iniciar sesión en el equipo?

En Autopsy, en los datos de artefactos generados, ítem “OS Accounts”, se analizaron los metadatos y se validó la información del “Last login” para lo cual, el último usuario en iniciar sesión fue “Informant” con fecha y hora del “2015-03-25 08:06:08 COT”.

6. ¿Cuándo fue la última fecha y hora de apagado del equipo?

Se descargó la carpeta Config de la ruta “Windows/System32”. Se instaló la herramienta “Windows Register Recovery”; se cargó el archivo “SYSTEM” contenido en la carpeta Config. Posteriormente, en la opción “Raw Data” en la ruta “ControlSet001/Control/Windows” se identificó la cadena “ShutdownTime” con el valor “25/03/2015 10:31:05 a. m.” el cual corresponde a la última fecha y hora de apagado del equipo.

7. ¿Cuál fue la última dirección IP asignada al equipo? ¿Se asignó por DHCP?

Se descargó la carpeta config de la ruta “Windows/System32”. Se instaló la herramienta “Windows Register Recovery”; se cargó el archivo “SYSTEM” contenido en la carpeta Config. En la herramienta Windows Register Recovery en la opción “Network configuration” en la pestaña TCP/IP se identificó que la dirección IP es 10.11.11.129 y que esta si fue asignada por DHCP desde el servidor 10.11.11.2.

8. ¿Qué aplicaciones instaladas tenía el equipo?

Desde Autopsy en la opción “Installed Programs” se generan 228 registros; al filtrarlos y dejar registros únicos se identifican 46 programas instalados. Por medio de “Windows Register Recovery” se identifican 9 aplicaciones: Apple Application Support, Apple Software Update, Bonjour, Eraser, Google Chrome, Google Drive, Microsoft .Net Framework 4 client profile, Microsoft .Net Framework 4 Extended, Microsoft Office Profesional Plus 2013.

 [pic 5][pic 6]

9. ¿Qué navegadores de Internet se utilizaban?

Desde Autopsy en la opción “Web Search” se identifica en la pestaña “Table” la columna “Program Name” en la cual se identifican los siguientes navegadores que se utilizaban: Google Chrome, Internet Explorer Analyzer, y Microsoft Edge Analyzer.

10. ¿A qué sitios web se accedió y en qué hora?

Desde Autopsy en la opción “Web History” se identifica en la pestaña “Table” en la columna “URl” la información de los sitios web a los que se accedió y en la columna “Date Accessed” la fecha y hora de acceso a los mismos.

[pic 7]

11. ¿Qué búsquedas se realizaron a través de los buscadores de Internet?

Desde Autopsy en la opción “Web Search” se identifica en la pestaña “Table” la columna “text” la información de las búsquedas que se realizaron.

[pic 8]

12. ¿Qué búsquedas realizó el usuario a través de la barra de búsqueda del explorador de Windows?

En Autopsy se realiza la búsqueda en Volumen 3 en la ruta “Users / Informant / AppData / Local / Microsfot / Windows” y se identificó que en la carpeta “Explorer” varios archivos, para lo cual se validan cuales generan “Analysis Result”. De estos se identifica que se buscó la palabra “Secret” en E:\«SECRET« PROJECT DATA\DESIGN\W.

...

Descargar como (para miembros actualizados) txt (16 Kb) pdf (1 Mb) docx (2 Mb)
Leer 9 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com