Forense

1. Investigacin ETI se puede utilizar para mostrar que las personas

cometen delitos en cumplimiento de la empresa criminal. Qu IET
representa?

a) Empresa Teora de la Investigacin

b) Iniciativa de Comercio tico
c) Teora tico de Investigacin
d) Tcnico de Investigacin Empresarial
2. Una serie metdica de tcnicas y procedimientos para la obtencin de
pruebas, desde el equipo de cmputo y diversos dispositivos de
almacenamiento y los medios digitales se conoce como la informtica
forense. La persona que es responsable de la autorizacin de una
poltica o procedimiento para el proceso de investigacin se conoce
como:
a) Testigo experto
b) Evidencia Administrador
c) Tomador de decisiones
d) Incidentes Analizador
3. Es esencial comprender las leyes que se aplican a la investigacin,
incluyendo las polticas de organizacin interna antes de iniciar el
proceso de investigacin. Identificar la Regla 901 de las leyes
forenses:
a) Prohbe daos maliciosos
b) Pruebas pertinentes general admisible; Irrelevante inadmisible pruebas
c) Exigencia de autenticacin o identificacin
d) Evidencia de carcter y la conducta de los testigos
4. Cul de los siguientes es un documento legal que demuestra la
progresin de pruebas a medida que viaja de un lugar evidencia
original al laboratorio forense?
a) Cadena de custodia
b) Origen de Custodia
c) Evidencia de documentos
d) Evidencia Examinar

5. John es un investigador forense que trabaja para Rodridge Corp.

comenz a investigar un caso forense y ha recogido algunas
pruebas. Ahora John quiere usar esta prueba para su posterior
anlisis. Qu debe hacer Juan?
a) Se debe utilizar la evidencia original que ha recogido y contine con el
proceso de anlisis
b) No debe utilizar la evidencia original que ha recogido
c) Se debe enviar el informe para su posterior anlisis
d) No debera utilizar las pruebas que ha reunido y utilizar el informe de
alguna otra evidencia
6. La evidencia digital debe tener ciertas caractersticas para darse a
conocer en el tribunal de justicia. La declaracin "La evidencia debe
estar relacionado con el hecho de ser demostrado", define qu
caracterstica?
a) Creble
b) Confiable
c) Admisible
d) Autntico

7. Evidencia digital es circunstancial, lo que hace que sea difcil para un

investigador forense para rastrear la actividad del sistema. Identificar
la naturaleza de la evidencia digital:
a) Robusto
b) Unbreakable
c) Firme
d) Frgil

8. Evidencia digital se define como "cualquier informacin de valor

probatorio que se almacena o transmite en forma digital". Qu tipo de
datos digitales contiene la hora del sistema, usuario conectado (s),
abrir archivos, informacin de la red, la informacin del proceso, el
mapeo de procesos a puerto, la memoria del proceso, el contenido del

portapapeles, el servicio / informacin para el conductor, y la historia

de comandos?
a) Datos voltiles
b) Los datos no voltil
c) Transitorio de datos
d) Active Data

9. Qu tipo de datos digitales se utiliza para el almacenamiento

secundario y persiste a largo plazo?
a) Los datos no voltil
b) Datos voltiles
c) Transitorio de datos
d) Datos Temporalmente Accesible

10. Qu tipo de datos digitales almacena un archivo de documento en un

equipo cuando se elimina y ayuda en el proceso de recuperar el
archivo hasta que se vuelve a utilizar ese espacio de archivos?
a) Metadatos
b) Datos Residual
c) Archivo de Datos
d) Transitorio de datos
11. Reglas de evidencia gobiernan si, cundo, cmo y para qu pruebas
de un caso propsito pueden ser colocados antes de que un juez de
los hechos para su consideracin. En Reglas Federales de Evidencia,
que gobiernan en caso de admisibilidad de duplicados?
a) Regla 1002
b) Regla 1004

c) Regla 1003
d) Regla 1.001 mil
12. Grupo de Trabajo Cientfico de Evidencia Digital (SWGDE) ha definido
las normas y criterios para el Intercambio de Evidencia Digital. Cul
de

estas

normas

criterios

SWGDE

establece

que

"Los

procedimientos utilizados deben ser generalmente aceptada en el

campo o con el apoyo de los datos recogidos y registrados de manera
cientfica"?
a) Normas y Criterios 1.3
b) Normas y Criterios 1.1
c) Normas y Criterios 1.2
d) Normas y Criterios 1.4

13. Diferentes tipos de dispositivos electrnicos se utilizan para recoger

las posibles pruebas para investigar un caso forense. En cul de
estas evidencias dispositivo electrnico que se encuentra a travs de
la libreta de direcciones, notas, calendarios de citas, nmeros de
telfono y correo electrnico?
a) Relojes digitales
b) Sistemas de Posicionamiento Global (GPS)
c) Copiadoras
d) Scanner
14. El anlisis es el proceso de interpretacin de los datos extrados para
determinar su importancia para el caso. El resultado de lo cual el
anlisis puede indicar los pasos adicionales que debe ser tomada en
los procesos de extraccin y anlisis?

a) Anlisis Plazo
b) Anlisis ocultacin de datos
c) Aplicacin y Anlisis de archivo
d) Anlisis de la propiedad y posesin
15. "En ningn caso debe a nadie, con la excepcin de personal calificado
en informtica forense, que cualquier intento de restaurar o recuperar
la informacin de un sistema informtico o un dispositivo que
mantiene

la

informacin

electrnica"

La declaracin anterior es vlido para cul de las siguientes normas:

a) Regla de primera respuesta
b) Segunda regla de actuacin
c) Regla de actuacin Evidencia
d) Regla de actuacin forense

16. Cuando la recogida de pruebas, la coleccin debe proceder de los ms

voltiles de los menos voltiles. En la lista dada, identificar cul de los
siguientes es menos voltil:
a) Registros, cach
b) Los medios de comunicacin De Archivo
c) Sistemas de archivos temporales
d) Disco u otros medios de almacenamiento
17. Mike es un Forensic Investigator ordenador. Se puso una tarea de una
organizacin para investigar un caso forense. Cuando Mike lleg a la
organizacin para investigar el lugar, se encontr con que la
computadora en la escena del crimen estaba apagado. En este
escenario, qu crees que Mike debera hacer?
a) Se debe encender el ordenador

b) l debe dejar el ordenador apagado

c) Se debe encender el ordenador y extraer los datos
d) Se debe encender el ordenador y debe comenzar a analizarla
18. En la Investigacin Forense de toda la evidencia recolectada debe ser
marcado como exposiciones utilizando el formato de numeracin de
exposiciones. El formato de la numeracin de exposicin es aaa /
ddmmaa / nnnn / zz. Identificar qu es zz en el formato de nmero de
exposiciones:
a) Iniciales del Analista Forense o Agente de Polica incautacin del equipo
b) El nmero de secuencia de partes de la misma exposicin (por ejemplo,
"A" - podra ser la CPU, 'B' - Monitor, 'C' - el teclado, etc.)
c) La fecha de la convulsin
d) Nmero

secuencial

de

las

exposiciones

incautados

por

AAA-

comenzando con 001 y va a nnnn

19. Un forense Laboratorio de Computacin (CFL) es un lugar designado
para la realizacin de investigacin basado en computadora en la
evidencia recolectada. Identifique cul de los siguientes no es un buen
examen para el diseo estructural de un laboratorio forense:
a) Debe ser un lugar seguro
b) Debe estar construido con materiales pesados
c) Debe tener ventanas en el exterior del laboratorio
d) No debe tener ninguna abertura en las paredes, techos y pisos
20. El estudio de los equipos para satisfacer los requisitos humanos de
comodidad sin afectar la eficiencia se define como:
a) Ergonoma
b) Economa
c) Erlonomics
d) Erdynamics

21. Platters son el metal magntica plana redonda o discos de cermica

en el disco duro que contienen los datos reales. Un anillo circular
concntrica en ambos lados de cada plato se conoce como una
pista. Numeracin pista empieza desde qu nmero?
a) -1
b) 0
c) 1
d) 6

22. Cul de las siguientes es la unidad de asignacin ms pequea de un

disco duro, que contiene un conjunto de pistas y sectores que van de
2 a 32, o ms, dependiendo del esquema de formato?
a) Sector
b) Cluster
c) Track
d) 4Platter
23. El arranque se refiere al proceso de iniciar o reiniciar los sistemas
operativos

cuando

el

usuario

se

convierte

en

un

sistema

informtico. Arranque en fro es un tipo de arranque, y se define como

el proceso de iniciar un equipo desde una aeronave de abajo o fuera
del estado. Arranque en fro tambin se conoce como:
a) Arranque duro
b) Arranque suave
c) Arranque en caliente

d) Ninguna de las anteriores

24. Sistema de archivos es un conjunto de tipos de datos, que se emplea
para el almacenamiento, clasificacin jerrquica, la gestin, la
navegacin, el acceso y la recuperacin de los datos. Qu tipo de
sistema de archivos es aquel en el que un nmero de sistemas
(servidores) tienen acceso a la misma subsistema de disco externo?
a) Sistemas de archivos de disco compartido
b) Sistemas Propsito de archivos especiales
c) Sistemas de archivos de cinta
d) Sistemas de archivos en red

25. Sistemas de archivos ms importantes incluyen FAT, NTFS, HFS, Ext2,

Ext3, etc. Identifique la declaracin correcta para el sistema de
archivos FAT:
a) Soporta medios de almacenamiento de gran tamao
b) Soporta la recuperacin del sistema de archivos
c) No es compatible con la recuperacin del sistema de archivos
d) Soporta nombres de archivos grandes
26. Matriz redundante de discos econmicos (RAID) es una tecnologa que
utiliza varios discos ms pequeos al mismo tiempo que funciona
como un solo volumen grande. En qu nivel de RAID duplicacin de
discos que se hace?
a) RAID Nivel 3
b) Nivel RAID 0
c) Nivel RAID 1
d) Nivel RAID 5

27. Qu informacin se puede modificar fcilmente o se pierde cuando el

sistema se apaga o reinicia?
a) Informacin voltil
b) La informacin no voltil
c) Tanto a como B
d) Ni a ni b
28. Puede utilizar la utilidad de lnea de comandos de Windows
incorporado nbtstat para ver el nombre NetBIOS tabla de cach. Qu
interruptor con el interruptor de comando nbtstat muestra la cach de
la tabla de nombres NetBIOS?
a) Nbtstat-ano
b) Nbtstat -r
c) Nbtstat -c
d) Nbtstat -s
29. Durante la respuesta en vivo, puede recuperar y analizar gran parte de
la informacin en el Registro, y los datos completos durante la
investigacin post-mortem. Cul de este registro Colmena contiene
informacin de configuracin relativa a la aplicacin que se utiliza
para abrir varios archivos en el sistema?
a) HKEY_USERS
b) HKEY_CURRENT_USER
c) HKEY_CLASSES_ROOT
d) HKEY_CURRENT_CONFIG
30. La directiva de auditora de un sistema se mantiene en la colmena de
Seguridad, debajo de la tecla PolicyPolAdtEv. Su valor por defecto es
el tipo de datos REG_NONE y contiene informacin binaria en la que

se codifica la directiva de auditora. Los primeros 4 bytes (DWORD) de

los datos binarios da informacin sobre si la auditora se ha
habilitado. El valor de DWORD explica el estado de la directiva de
auditora. El valor 02 significa:
a) No hay auditora
b) Eventos de xito son auditadas
c) Eventos de falla son auditadas
d) Ambos eventos de xito y fracaso son auditadas
31. Las claves de registro que realizan un seguimiento de las actividades
de

los

usuarios

se

pueden

encontrar

en

el

archivo

NTUSER.DAT. Cuando un usuario realiza una accin en particular, las

claves de registro de tiempo Lastwrite se actualiza. Estas claves del
Registro rastrear la actividad del usuario y agregar o modificar la
informacin de marca de tiempo asociada a los valores del registro,
esta informacin de marca de tiempo se mantiene en los datos de
valor.Fechas importantes estn disponibles en el contenido de los
datos binarios para el valor de F como el tiempo / fecha sellos,
representadas como objetos FILETIME 64 bits. Cul de las siguientes
afirmaciones es correcta para Bytes 24-31?
a) Representar a la ltima fecha de inicio de sesin para la cuenta
b) Representar a la fecha en que la contrasea era la ltima reposicin
c) Representar a la cuenta de la fecha de caducidad
d) Representar a la fecha del ltimo intento de acceso fallido
32. FTP significa Protocolo de transferencia de archivos y un servidor FTP
enva y recibe archivos mediante FTP. Qu descripcin hace el error
sc-status FTP Cdigo 1xx da?
a) Servicio listo en minutos nnn
b) Conexin de datos ya de partida de transferencia abierta

c) Respuestas preliminares positivos

d) Respuestas Finalizacin positivos
33. Adquisicin de datos es el proceso de formacin de imgenes o la
obtencin de informacin de otro modo desde un dispositivo digital y
su equipo perifrico y medios de comunicacin. El tipo de adquisicin
de datos que se define como la adquisicin de datos que permanece
inalterado cuando el sistema est apagado o de apagado, se conoce
como:
a) Adquisicin Vivo
b) Esttica Adquisicin
c) Adquisicin de datos USB
d) Adquisicin de datos Comunicacin en serie
34. En los mtodos de validacin de Linux Dcfldd est diseado para la
adquisicin de datos forense y tiene opciones de validacin es decir
integrado; hash y hashlog. Cul es el comando comando utilizado en
el intrprete de comandos para crear un archivo de salida hash MD5
durante la adquisicin de datos dcfldd?
a) dcfldd if = / dev / sdk unirse = 2 M de = usbimg de hash = md5 hashlog =
usbhash.log
b) dcfldd if = / dev / sda dividida = 2 M de = usbimg de hash = md5 hashlog
= usbhash.log
c) dcfldd if = / dev / sda split = 5M de = ldpimg de hash = md5 hashlog =
usbhash.log
d) dcfldd if = / dev / sdb | unirse a 650m -b - image_sdb
35. Los investigadores forenses utilizan el incorporado Linux comando dd
para copiar datos desde una unidad de disco. El comando "dd" puede
copiar los datos de cualquier disco que Linux puede montar y

acceso. cul es la sintaxis para copiar una particin de disco duro en

otro disco duro?
a) dd if = / dev / hda of = / dev / case5img1
b) dd if = / dev / sda2 of = / dev / sdb2 bs = 4096 conv = notrunc, noerror
c) dd if = / dev / hdc of = / home / sam / MyCD. iso bs = 2048 conv =
notrunc
d) dd if = / dev / mem de = / home / sam /mem.bin bs = 1024
36. Eliminacin de archivos es una forma de eliminar un archivo de un
sistema de archivos de las computadoras. Los siguientes son la serie
de eventos que ocurren cuando un archivo se elimina en las
ventanas. Identifique cul de los siguientes eventos no se produce
cuando se elimina el archivo:
a) La primera letra de un nombre de archivo se reemplaza por un cdigo de
bytes hexadecimal E5h
b) Clusters en FAT estn marcados y usadas
c) Campo ndice de MFT est marcada con un cdigo especial en NTFS
d) El sistema operativo marca el nombre del archivo en la MFT con un
carcter especial que indica que el archivo ha sido borrado
37. Hex bsqueda le permite buscar por repetir las instancias de datos en
Hex-formato, y para daros Hex formato cadenas de bsqueda de datos
a un archivo XML y reutilizar en este u otros casos. El formato
hexadecimal (Hex) incluye pares de caracteres en un esquema
numrico de base 16. Identificar el formato Hex correcta:
a) 09.01 y af
b) 0-9 y af
c) 1-10 y ae
d) 0-8 y ag

38. Forense EnCase ofrece una variedad de mdulos de software que

ponen a poderosas herramientas de investigacin a disposicin de los
investigadores forenses. Cul de este mdulo de software forense
EnCase

permite

los

investigadores

para

montar

evidencia

computadora como una unidad local para el examen a travs del

Explorador de Windows?
a) EnCase Descifrado Suite (EDS)
b) Sistema de archivos virtual (VFS)
c) Disco fsico Emulator (PDE)
d) FastBloc Software Edition (SE)
39. El proceso de examinar la evidencia adquirida es de naturaleza cclica
y se refleja en la relacin entre los cuatro paneles de la interfaz
EnCase. Cul

de

las

siguientes

panel

representa

una

vista

estructurada de todas las pruebas reunidas en una jerarqua de

carpetas similar a Windows?
a) rbol Pane
b) Panel de tabla
c) Ver Pane
d) Panel Filtros
40. Un caso evidencia tiene una estructura tripartita que consiste en un
expediente de prueba, un expediente del caso, y los archivos de
configuracin EnCase. De forma predeterminada, se guarda una copia
de seguridad del archivo caso cada 10 minutos. Seleccin de la opcin
se puede desactivar la funcin de guardado automtico?
a) -1
b) 0
c) 1
d) 2

41. Un caso se asocia con una funcin especfica, que se establece por el
administrador. El asistente Nueva caja captura de configuracin de rol
y de casos. El asistente Nueva caja muestra el cuadro de dilogo de
clases,

el

cuadro

de

dilogo

Opciones

de

casos.

"Una vez que se selecciona una funcin, puede cambiar el papel si es

necesario". Identificar si la afirmacin es verdadera o falsa:
a) Cierto
b) Falso

42. Las entradas incluyen pruebas y otros tipos de archivos que

contienen evidencia digital que se agregan a un caso. Aplicaciones
EnCase

apoyan

cuatro

clases

de

archivos

que

contiene

la

evidencia. En cul de estos archivos contienen una coleccin de

archivos, pero carecen de la integracin de los valores de los
metadatos y croquetas de compresin que el expediente de prueba
EnCase proporciona:
a) Evidencia EnCase archivos (E01)
b) Evidencia Lgico archivos (LEF / L01)
c) Imgenes primas Archivos
d) La evidencia racional Archivos
43. Procesador Fuente automatiza y agiliza las tareas de investigacin
comunes que recogen, analizan e informan sobre las pruebas. Cul
de este mdulo procesador fuente obtiene las unidades y la memoria
de un equipo de destino?
a) Mdulo de Informacin Personal
b) Mdulo Artefactos Internet
c) Mdulo de Adquisicin

d) Mdulo Procesador Archivo

44. "EnCase han incorporado en las capacidades para acceder a todo tipo
de archivos". Identificar si la afirmacin es verdadera o falsa:
a) Cierto
b) Falso

45. El contenido del archivo de archivos de evidencia se puede ver

utilizando el panel de vista. El panel de Vista ofrece varias pestaas
para ver el contenido del archivo. Cul de esta ficha ofrece vistas
nativos de formatos soportados por Oracle fuera en la tecnologa?
a) Ficha Texto
b) Pestaa Hex
c) Pestaa Doc
d) Ficha Imagen
46. EnCase le permite marcar cualquier contenido que se muestra en el
panel de vista. Los favoritos se almacenan en su expediente asociado
y se pueden ver mediante la seleccin de la ficha Marcadores. Cuando
se vuelve a crear un grupo marcador archivo?
a) Si se seleccionan ms de dos archivos en la tabla de los comentarios
b) Si se selecciona ms de un archivo en la tabla de los comentarios
c) Si se seleccionan ms de diez archivos en la tabla de los comentarios
d) Si se seleccionan ms de cinco archivos en la tabla de los comentarios
47. Qu tcnica se utiliza para ocultar un mensaje secreto dentro de un
mensaje comn y extraerlo en el destino para mantener la
confidencialidad de los datos?
a) Criptografa
b) Esteganografa

c) Encriptacin
d) PKI
48. Cul de este programa intenta todas las combinaciones de
caracteres hasta que se quebr la contrasea?
a) Fuerza bruta Ataques
b) Los ataques de diccionario
c) Ataque hbrido
d) Ataque basado en reglas
49. Cul de esta tcnica de ataque es la combinacin de ambos un
ataque de fuerza bruta y un ataque de diccionario para descifrar una
contrasea?
a) Ataque hbrido
b) Ataque basado en reglas
c) Ataque Slaba
d) Ataque Fusin
50. La comunicacin inalmbrica es la transferencia de informacin entre
dos o ms puntos que no estn conectados fsicamente. Cul de este
estndar inalmbrico tiene el ancho de banda de hasta 54 Mbps y
seales en un espectro de frecuencia regulada alrededor de 5 GHz?
a) 802.11a
b) 802.11b
c) Bluetooth
d) 802.11n