Saltar al contenido principal

Autopsy

Descargar

Página de Descargas de Autopsy

Caso Práctico - NIST CFREDS Hacking Case

https://cfreds-archive.nist.gov/Hacking_Case.html

Preguntas

  1. ¿Cuál es el hash de la imagen? ¿Coinciden el hash de adquisición y el de verificación?
  2. Qué sistema operativo se utilizó en el ordenador?
  3. Cuándo fue la fecha de instalación?
  4. ¿Cuál es la configuración de la zona horaria?
  5. ¿Quién es el propietario registrado?
  6. ¿Cuál es el nombre de la cuenta del ordenador?
  7. ¿Cuál es el nombre de dominio principal?
  8. ¿Cuándo se registró la última fecha/hora de apagado del ordenador?
  9. ¿Cuántas cuentas hay registradas (número total)?
  10. ¿Cuál es el nombre de cuenta del usuario que más utiliza el ordenador?
  11. Quién fue el último usuario que se conectó al ordenador?
  12. Al buscar el nombre de "G=r=e=g S=c=h=a=r=d=t" se obtienen varios resultados. Una de ellas demuestra que G=r=e=g S=c=h=a=r=d=t es Mr. Evil y también el administrador de este ordenador. ¿De qué archivo se trata? ¿Con qué programa de software está relacionado este archivo?
  13. Enumera las tarjetas de red que utiliza este ordenador
  14. Este mismo archivo informa de la dirección IP y la dirección MAC del ordenador. ¿Cuáles son?
  15. Una búsqueda en Internet del nombre del proveedor/modelo de las tarjetas NIC por dirección MAC puede utilizarse para averiguar qué interfaz de red se utilizó. En la respuesta anterior, los 3 primeros caracteres hexadecimales de la dirección MAC indican el proveedor de la tarjeta. ¿Qué tarjeta NIC se utilizó durante la instalación y configuración de LOOK@LAN?
  16. Encuentre 6 programas instalados que puedan utilizarse para piratear.
  17. ¿Cuál es la dirección de correo electrónico SMTP de Mr. Evil?
  18. ¿Cuál es la configuración NNTP (servidor de noticias) de Mr.
  19. ¿Qué dos programas instalados muestran esta información?
  20. ¿Enumera 5 grupos de noticias a los que está suscrito el Sr. Maligno?
  21. Se instaló un popular programa de IRC (Internet Relay Chat) llamado MIRC. ¿Cuál es la configuración de usuario que se mostraba cuando el usuario estaba conectado y en un canal de chat?
  22. Este programa IRC tiene la capacidad de registrar sesiones de chat. Enumera 3 canales IRC a los que accedió el usuario de este ordenador.
  23. También se encontró instalado Ethereal, un popular programa de "sniffing" que puede ser utilizado para interceptar paquetes de Internet cableados e inalámbricos. Cuando los paquetes TCP son recogidos y reensamblados, el directorio de guardado por defecto es el directorio \My Documents de ese usuario. ¿Cuál es el nombre del archivo que contiene los datos interceptados?
  24. Ver el archivo en formato de texto revela mucha información sobre quién y qué fue interceptado. Qué tipo de ordenador inalámbrico utilizaba la víctima (persona a la que se le grabó su navegación por Internet)?
  25. ¿A qué páginas web accedía la víctima?
  26. Busca la dirección de correo electrónico del usuario principal. ¿Cuál es?
  27. Yahoo mail, un popular servicio de correo electrónico basado en la web, ¿guarda copias del correo electrónico bajo qué nombre de archivo?
  28. ¿Cuántos archivos ejecutables hay en la papelera de reciclaje?
  29. ¿Se borran realmente estos archivos?
  30. ¿Cuántos archivos son realmente borrados por el sistema de archivos?
  31. Realice una comprobación antivirus. ¿Hay algún virus en el ordenador?

Respuestas

Pregunta 1

¿Cuál es el hash de la imagen? ¿Coinciden el hash de adquisición y el de verificación?

Recursos