Escolar Documentos
Profissional Documentos
Cultura Documentos
Actividades
Para realizar el anlisis de los eventos del sistema operativo podis utilizar el propio
visor de eventos de Windows, o programas como Event Log Explorer, que permiten
realizar filtros y bsquedas sobre la lista de eventos.
TEMA 4 Actividades
Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin
De los eventos del sistema operativo, debis obtener los siguientes datos:
Para responder a las dos primeras preguntas, tendris que buscar en los eventos, el
evento de creacin de usuario, en el cual se especifica que usuario ha sido creado, por
quin y a qu hora. Para responder al resto de las preguntas, tendris que buscar los
eventos de acceso al equipo, donde se especifica el tipo de inicio de sesin
(http://technet.microsoft.com/en-us/library/cc787567%28v=ws.10%29.aspx), la fecha
y hora y si el acceso se ha conseguido o no.
Para realizar el anlisis del historial de navegacin del explorador, en este caso de
Firefox, podis utilizar programas como NetAnalysis, o alguno especfico de anlisis del
historial de Firefox, aunque tambin es posible visualizar el historial y algunos registros
mas de este navegador, accediendo directamente al contenido de las bases de datos, en
formato SQLite, del mismo.
El ltimo paso, va a consistir en analizar los archivos de registro del sistema operativo.
Estos archivos pueden ser analizados con multiples programas, aunque el
recomendado, por su sencillez, es Windows Registry Recovery, de Mitec.
Los archivos de registro objeto del anlisis son los archivos NTUSER.DAT del
usuario Administrador y del usuario Pirata.
TEMA 4 Actividades
Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin
Del anlisis del registro del sistema operativo teneis que obtener:
DESARROLLO DE LA ACTIVIDAD
Anlisis de los eventos del sistema operativo
Qu usuario ha sido creado recientemente? Quin ha creado dicho
usuario?
Con el software Event Log Explorer, podemos observar que el usuario creado es
pirata y que fue creado por el usuario Administrador.
TEMA 4 Actividades
Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin
PRIMER INTENTO
SEGUNDO INTENTO
TEMA 4 Actividades
Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin
TEMA 4 Actividades
Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin
TEMA 4 Actividades
Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin
Con ayuda del software Windows Registry Recovery, podemos observar que el usuario
Administrador no ejecutaba ningn programa malicioso, ya que que el ctfmon.exe es
un proceso del Microsoft Office XP siempre y cunado la ruta sea
C:\WINDOWS\System32\ como lo podemos observar:
TEMA 4 Actividades
Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin
TEMA 4 Actividades
Asignatura Datos del alumno Fecha
Apellidos: Briceo Jimnez
Anlisis Forense 03 07 - 2017
Nombre: Edgar Favin
PREGUNTAS DE APRENDIZAJE:
Qu has aprendido de este tema que no supieras?
Los 3 procesos que se han solicitado en la actividad, para mi han sido totalmente
nuevos ya que no tengo experiencia laguna en este tipo de actividades.
TEMA 4 Actividades