Scribd
Cargar
189 vistas16 páginas

Examen Forence-D 2020

El documento contiene instrucciones para un examen de Análisis Forense. Proporciona información sobre el formato, las preguntas tipo test y de verdadero/falso, la puntuación, y supuestos prácticos. En 3 oraciones resume lo siguiente: El documento presenta las instrucciones y formato de un examen sobre Análisis Forense, incluyendo 10 preguntas tipo test, 4 preguntas de verdadero/falso, y 3 supuestos prácticos que deben ser respondidos. El examen evalúa conocimientos sobre concept

Cargado por

cenepa
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
189 vistas16 páginas

Examen Forence-D 2020

El documento contiene instrucciones para un examen de Análisis Forense. Proporciona información sobre el formato, las preguntas tipo test y de verdadero/falso, la puntuación, y supuestos prácticos. En 3 oraciones resume lo siguiente: El documento presenta las instrucciones y formato de un examen sobre Análisis Forense, incluyendo 10 preguntas tipo test, 4 preguntas de verdadero/falso, y 3 supuestos prácticos que deben ser respondidos. El examen evalúa conocimientos sobre concept

Cargado por

cenepa
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 16

DATOS PERSONALES FIRMA

Nombre: DNI:
Apellidos:

ESTUDIO ASIGNATURA CONVOCATORIA

MÁSTER UNIVERSITARIO EN 3711000005.- ANÁLISIS


Ordinaria
SEGURIDAD INFORMÁTICA FORENSE
FECHA MODELO CIUDAD DEL EXAMEN
10-12/07/2020 Modelo - D

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Lee atentamente todas las preguntas antes de empezar.
2. La duración del examen es de 2 horas.
3. Escribe únicamente con bolígrafo azul o negro.
4. No está permitido utilizar más hojas de las que te facilita la UNIR (puedes utilizar folios para hacerte
esquemas u organizarte pero no se adjuntarán al examen).
5. El examen PRESENCIAL supone el 60% de la calificación final de la asignatura. Es necesario
aprobar el examen, para tener en cuenta la evaluación continua, aunque esta última sí se guardará
para la siguiente convocatoria en caso de no aprobar.
6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay en la parte superior con
tus datos personales.
7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su posible verificación.
8. Apaga el teléfono móvil.
9. Las preguntas se contestarán en CASTELLANO.
10. Si en alguna de las respuestas se detecta un caso de copia de los materiales de la asignatura, de
cualquier otra fuente (por ejemplo, Internet) o de otros compañeros, se va a calificar el examen con 0
puntos.

Código de examen: 139268 1


Puntuación

Preguntas tipo test


Puntuación máxima 2.00 puntos
Cada pregunta vale 0.20 puntos

Preguntas verdadero / falso


Puntuación máxima 0.50 puntos
Cada pregunta vale 0.12 puntos

Supuestos prácticos
Puntuación máxima 7.50 puntos
Cada pregunta vale 2.50 puntos

NO UTILIZAR ESTA
PARTE DE LA HOJA

Código de examen: 139268 2


DATOS PERSONALES FIRMA
Nombre: DNI:
Apellidos:

Preguntas tipo test

Las respuestas erróneas NO restan


Sólamente hay una opción válida en cada pregunta

1. La pregunta ¿Qué se ha alterado? busca:


1. Identificar el autor del incidente
2. Identificar la dirección IP o MAC desde la que se ha realizado el ataque
3. Identificar los cambios autorizados realizados en el sistema
4. Ninguna de las anteriores es correcta

2. ¿Cuáles son las preguntas a las que debe dar respuesta un análisis forense?
1. ¿Qué se ha alterado?, ¿Dónde se ha alterado? y ¿Por qué se ha alterado?
2. ¿Qué se ha alterado?, ¿Cómo se ha alterado? y ¿Quién ha realizado dicha alteración?
3. ¿Qué se ha alterado?, ¿Cómo se ha alterado? y ¿Por qué se ha alterado?
4. Ninguna de las anteriores es correcta

3. Según el NIST ¿Cuáles son las etapas de un análisis forense?


1. Recolectar, Preservar, Analizar y Presentar
2. Recolectar, Preservar, Analizar, Presentar y Destruir
3. Recolectar, Analizar, Presentar y Destruir
4. Recolectar, Guardar y Analizar

4. Con respecto al Sistema de Ficheros...


1. Es la forma en que se organiza, gestiona y mantiene la jerarquía de ficheros en los dispositivos de
almacenamiento
2. Hace que los programas tengan que conocer la ubicación física de los datos
3. Cuando se borra de manera segura un dispositivo, lo que se hace, entre otras cosas, es implantar un
nuevo sistema de ficheros en dicho dispositivo
4. Ninguna de las anteriores es correctas

5. Con respecto a las evidencias volátiles...


1. Son aquellas que no cambian fácilmente
2. Son las últimas en ser adquiridas dada su inmutabilidad
3. Desaparecen al apagar el equipo
4. Ninguna de las anteriores es correcta

Código de examen: 139268 3


6. ¿Cuáles son los objetivos que se busca conseguir mediante el uso de la cadena de custodia?
(Seleccione la respuesta que considere más completa)
1. Garantizar la integridad, inamobilidad, autenticidad, localización, trazabilidad y preservación de la
evidencia.
2. Garantizar la integridad, inamobilidad, autenticidad, trazabilidad y preservación de la evidencia.
3. Garantizar la inamobilidad, autenticidad, trazabilidad, preservación y localización de la evidencia.
4. Garantizar la integridad, autenticidad, localización, trazabilidad y preservación de la evidencia.

7. Con respecto a la responsabilidad penal del perito...


1. Se da cuando el perito comete un delito de manera deliberada, pero no por imprudencia
2. Se da únicamente por la realización del hecho de manera imprudente
3. Se da únicamente cuando se realiza el hecho con dolo
4. Ninguna de las anteriores es correcta

8. Una adquisición física


1. Incluye todas las particiones del dispositivo
2. Incluye el sector de arranque y los espacios sin particionar del dispositivo
3. Las respuestas A y B son correctas
4. Ninguna de las anteriores es correcta

9. ¿Qué información sería posible recuperar tras la eliminación de un archivo si además, también se vacía
la papelera de reciclaje (o carpeta similar)?
1. Si se marca como eliminado en la tabla índice, toda (el archivo eliminado y los datos asociados al
mismo)
2. Si se elimina el enlace o su definición en la tabla índice, solo el archivo, sin los datos asociados al
mismo
3. Las respuestas A y B son correctas
4. Ninguna de las anteriores es correcta

10. Indique cuál de los siguientes archivos no se considera, en principio, un archivo de interés dentro de un
Sistema Operativo Windows
1. El registro de Windows
2. Los archivos de eventos del Sistema
3. Los archivos de paginación e hibernación
4. Todas las anteriores se consideran archivos de interés

Código de examen: 139268 4


DATOS PERSONALES FIRMA
Nombre: DNI:
Apellidos:

PLANTILLA DE RESPUESTAS
Preguntas / Opciones 1 2 3 4

10

NO UTILIZAR ESTA
PARTE DE LA HOJA

Código de examen: 139268 5


Preguntas verdadero / falso

Las respuestas erróneas NO restan

1. Es posible recuperar imágenes de un volcado de la memoria RAM

2. La firma de un archivo se suele encontrar al principio del mismo y es independiente de la extensión

3. Si durante la fase de pre-análisis nos encontramos con un archivo en formato VHD (formato de disco
duro virtual abierto), lo analizaremos como si de una máquina distinta se tratara.

4. Calculamos el hash de los archivos contenidos en una evidencia para centrar nuestra búsqueda en
archivos "buenos" conocidos

NO UTILIZAR ESTA
PARTE DE LA HOJA

Código de examen: 139268 6


DATOS PERSONALES FIRMA
Nombre: DNI:
Apellidos:

PLANTILLA DE RESPUESTAS
Preguntas / Opciones Verdadero Falso

NO UTILIZAR ESTA
PARTE DE LA HOJA

Código de examen: 139268 7


Supuestos prácticos

1. En los apuntes se describen una serie de factores importantes a la hora de decantarnos por realizar una
adquisición en caliente o en frío. Atendiendo a los mismos, así como también a la manera descrita para
proceder durante una adquisición, explique: ¿Qué tipo de adquisición realizaría?, ¿Por qué ese tipo de
adquisición? y los pasos que seguiría durante la adquisición.

Se encuentra usted en las oficinas de contabilidad de una empresa que fabrica vehículos de alta gama y
necesita adquirir la información de un equipo el cual se encuentra encendido, mostrando el escritorio de
Windows. Los responsables aseguran que el equipo no se usa habitualmente y que por ello no dispone de
disco duro.

NO UTILIZAR ESTA
PARTE DE LA HOJA

Código de examen: 139268 8


DATOS PERSONALES FIRMA
Nombre: DNI:
Apellidos:

Código de examen: 139268 9


2. Durante una adquisición en frío, ¿Cómo evitamos la modificación de la evidencia original? ¿Qué hashes
y en qué momento los calculamos para garantizar la no modificación de esta?

NO UTILIZAR ESTA
PARTE DE LA HOJA

Código de examen: 139268 10


DATOS PERSONALES FIRMA
Nombre: DNI:
Apellidos:

Código de examen: 139268 11


3. Define con tus propias palabras qué es un clonado

NO UTILIZAR ESTA
PARTE DE LA HOJA

Código de examen: 139268 12


DATOS PERSONALES FIRMA
Nombre: DNI:
Apellidos:

Código de examen: 139268 13


NO UTILIZAR ESTA
PARTE DE LA HOJA
DATOS PERSONALES FIRMA
Nombre: DNI:
Apellidos:

D ER
O R
S PON
D E
R A
AR AR
O R A P
B VÁLI D
A NO
IN
PÁG

Código de examen: 139268 15


DE R
O R
SPON
D E
R A
A RAR
O R A P
B VÁLI D
A NO
IN
PÁG

Código de examen: 139268 16

También podría gustarte