Mòdul Professional 4: Pràctica: Anàlisi d'evidències volàtils 01

Índex

1. Objectius

  • Adquisició imatge RAM.
  • Adquisició de dades en sistemes vius.

2. Enunciat

Descarregueu l'evidència que consta d'un volcat de memòria d'un sistema Windows.

Utilitzant l'eina volatility contesteu les preguntes següents, tot indicant la comanda (o comandes) utilitzades per tobar la informació solicitada i captures demostratives dels resultats:

1.- Determinar el Sistema Operatiu.

2.- Quants processos hi ha en execució actualment en el sistema?

3.- Quin és el PID del procés pare de 7zFM.exe?

4.- Quants Hives tenim en el volcat de memòria?

5.- Quantes claus de registre hi ha en el hive de SYSTEM?

6.- Quin valor té ImagePath de la clau ControlSet001/services/Smb?

7.- Quina contrasenya té l'usuari Admin?

8.- Quantes connexions cap a IP externes hi ha establertes?

9.- Quants arxius estan oberts a memòria?

10.- Un dels arxius és un 7z. Quin hash SHA256 té?

11.- Quina ruta té l'arxius 7z?

12.- Quin dia es va crear l'arxiu 7z?

13.- Quina web de ciencia ha estat visitada amb FireFox?

14.- Quan es va veure aquesta web?

15.- Hi havia un bloc de notes obert amb contrasenyes… recupereles. (Part de la contrasenya és reciclada)

16.- Pots recuperar el contingut del 7z (està xifrat).

3. Avaluació

4. Ampliació i repàs

Data: 2021-11-15 dl. 00:00

Autor: Raul Gimenez Herrada

Created: 2021-11-18 dj. 11:33