lunes, 27 de abril de 2015

Respuestas del 2o BugQuiz

Saludos!

Aqui les ponemos las respuesta del Quiz ... esperamos que les haya gustado, lamentablemente no hubo ganadores :(
1.     De manera predeterminada ¿cuál es el tamaño de un registro de la $MFT?
R=  De manera predeterminada un registro de MFT es de 1024 bytes de longitud, si un archivo es lo suficientemente pequeño su contenido se almacena dentro del registro de la MFT justo a un lado de su metadata de otra forma, existirá un puntero indicando cuales clusters contienen la información

2.     Hablando de VSS ¿cuál es el porcentaje máximo del total de tamaño del que un volume shadow copy puede ocupar en Windows Vista y Win7?
R=  Las limitaciones de un VSS  de forma predeterminada  para WinVista es del 15% total del disco y para Win7 3-5%

3.     En el tweet que fue posteado el 04/02/15 se muestra la siguiente pantalla:

 Si bien los dos comandos indican la capacidad de la RAM, la información mostrada por systeminfo es menor a la que wmic muestra, explica ¿por qué?
R=   La discrepancia se puede entender de la siguiente manera: el comando Wmic muestra el total de la memoria RAM instalada en el sistema mientras que el comando systeminfo muestra la memoria usable que se calcula como Memoria Total menos la memoria reservada para el hardware.


4.     Explica que indicadores dan las siguientes pantallas de que este proceso es malicioso:


R=  En la imagen mostrada hay ciertos indicadores bastantes claros de que este proceso es malicioso, comenzado por el Parent Porcess (PSEXESVC.EXE) , para un svchost.exe el PP siempre debe ser services, cualquier otra cosa mostrada es un fuerte indicio de un proceso que deberíamos analizar con más calma, lo siguiente son los argumentos del svchost.exe, si este fuera un proceso legitimo debería estar acompañado de algo como svchost.exe –k netsvcs , también sería bueno verificar la hora de inicio de otros scvhost.exe usualmente todos arrancan en tiempos iguales, sin embargo no podemos definir esto desde estas pantallas y por último el Security ID del usuario desde el cual es llamado el svchost es de un usuario standard lo cual es altamente inusual para este tipo de procesos.

5.     Si quisiera montar una imagen E01 en Linux con la capacidad de ver los archivos de sistema (como la $MFT) y ver la estructura de los archivos como un usuario los vería normalmente en Windows ¿Qué comando o comandos utilizaría? 
R= Para obtener los resultados por lo general yo utilizo mount -o ro,loop,show_sys_files,streams_interface=windows /mnt/ewf/<nombre de la imagen raw>  /mnt/windows_mount  

·                     Show_sys_files: esta opción muestra los metafiles de los listados de directorios, es decir vamos a poder ver archivos utilizados para almacenar la estructura de NTFS o FAT que normalmente no estarían visibles por ejemplo la $MFT.
·                     Streams_interface=windows: esta opción controla como el usuario puede acceder a Alternate Data Streams (ADS) al utilizar la opción=Windows les va a permitir visualizar los archivos como comúnmente se verían en Windows.

6. ¿Cuál es la mejor manera de saber si un archivo ".exe" fue ejecutado? (Considere que pudo haber técnicas antiforense) ¿Dónde buscaría, o que comandos ejecutaria?...La respuesta más ingeniosa y completa gana esta pregunta extra
para esta pregunta no habia una respuesta exacta por lo cual no podemos poner la respuesta correcta

No hay comentarios.:

Publicar un comentario

Déjanos tu opinion