Asignatura Datos del alumno Fecha

Apellidos: Zúñiga Suárez

Análisis forense 18/02/2018
Nombre: María José

Actividades

Trabajo: Análisis de los componentes básicos de un S.O. Windows

Esta actividad va a consistir en el análisis de tres partes distintas de lo que sería un

análisis completo de un sistema operativo. En este caso, revisaremos el sistema
Windows XP, del cual analizaremos: los archivos de eventos del sistema operativo, el
historial de navegación del explorador y el registro del sistema operativo.

El resultado de la presente práctica ha de ser un documento de texto donde se

expongan los pasos realizados durante los análisis, acompañando dichos pasos de
imágenes del proceso.

Antes de comenzar la actividad, lo primero es descargar del aula virtual el archivo a

revisar.

Además, de responder a las preguntas antes planteadas, deberás incluir un apartado en

el que expongas:

¿Qué has aprendido de este tema que no supieras?

¿Qué cosas ya sabías y con la lectura de este tema has comprendido mejor?
¿Qué esperabas aprender con este tema y no has logrado aprender?

Análisis de los eventos del sistema operativo

Para realizar el análisis de los eventos del sistema operativo podéis utilizar el propio
visor de eventos de Windows, o programas como Event Log Explorer, que permiten
realizar filtros y búsquedas sobre la lista de eventos.

Programa utilizado: Event Log Explorer

De los eventos del sistema operativo, debéis obtener los siguientes datos:
¿Qué usuario ha sido creado recientemente?, ¿Quién ha creado dicho
usuario?

TEMA 4 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Análisis forense 18/02/2018
Nombre: María José

El usuario que ha sido creado recientemente es: “pirata”

El usuario que lo creó es: “Administrador”

¿Ha intentado acceder dicho usuario al sistema? ¿Cuántas veces y de qué

manera lo ha intentado?

TEMA 4 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Análisis forense 18/02/2018
Nombre: María José

El usuario “pirata” si ha intentado acceder al sistema por dos ocasiones la primera en la

fecha 21/09/2012, a las 3:31:57 y la segunda el 21/09/2012, a las 3:33:40; además por
el Tipo de Inicio de sesión “10”se dirá que el usuario intentó ingresar de modo
“Remoteinteractive” eso quiere decir:

“Un usuario inició sesión en esta computadora remotamente usando

Servicios de Terminal Server o Escritorio Remoto.”

¿Ha conseguido acceder al equipo?

En los 2 intentos de ingreso no consiguió ingresar al equipo ya que presentó errores al
iniciar sesión de acuerdo con el evento:
680 = Un programa o servicio intentó comenzar con las credenciales de inicio de
sesión especificadas en el mensaje, que no coinciden con las credenciales del usuario
actual.
534 = Error de inicio de sesión. El usuario intentó iniciar sesión con un tipo que no
está permitido.

Análisis del historial de navegación del explorador

Para realizar el análisis del historial de navegación del explorador, en este caso de
Firefox, podéis utilizar programas como NetAnalysis, o alguno específico de análisis del

TEMA 4 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Análisis forense 18/02/2018
Nombre: María José

historial de Firefox, aunque también es posible visualizar el historial y algunos registros

mas de este navegador, accediendo directamente al contenido de las bases de datos, en
formato SQLite, del mismo.

Del análisis del historial de navegación, tenéis que obtener:

¿En qué página web solicitó el usuario del sistema la cena? ¿A qué hora?

El usuario pide la cena en el sitio www.telepizza.es, el día viernes 21/09/2018 a las

11:36:42

Análisis de los archivos de registro del sistema operativo

TEMA 4 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Análisis forense 18/02/2018
Nombre: María José

El último paso, va a consistir en analizar los archivos de registro del sistema operativo.
Estos archivos pueden ser analizados con multiples programas, aunque el
recomendado, por su sencillez, es Windows Registry Recovery, de Mitec.

Los archivos de registro objeto del análisis son los archivos «NTUSER.DAT» del
usuario «Administrador» y del usuario «Pirata».

Del análisis del registro del sistema operativo teneis que obtener:

¿Alguno de los usuarios ejecutaba algún programa malicioso en el

inicio?
El usuario pirata si ejecuta programas maliciosos en el inicio: TROYANO, VIRUS Y
KEYLOGGER.

TEMA 4 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Análisis forense 18/02/2018
Nombre: María José

En caso afirmativo, ¿cuál es la ruta donde se encontraba dicho

programa?

La ruta del código malicioso del usuario “pirata” es:

C:\WINDOWS\system32\troyano.exe –u
C:\WINDOWS\Temp\virus.exe
C:\Keylog.exe –all

Además, de responder a las preguntas antes planteadas, deberás incluir un

apartado en el que expongas:

¿Qué has aprendido de este tema que no supieras?

Los temas desarrollados en esta tarea no los he tratado anteriormente, así como
tampoco el software utilizado para realizar la indagación de cada una de las actividades
propuestas, y que podría utilizar en algunas áreas del lugar donde trabajo.

¿Qué cosas ya sabías y con la lectura de este tema has comprendido

mejor?
El historial que se guarda en el navegador y los logs conocía pero no sabía que existían
estas herramientas para poder revisar detalladamente cada actividad que se ejecuta en
los equipos, los registros del sistema operativo para conocer quienes ejecutan los virus
me pareció muy interesante.

TEMA 4 – Actividades
 Asignatura Datos del alumno Fecha
Apellidos: Zúñiga Suárez
Análisis forense 18/02/2018
Nombre: María José

¿Qué esperabas aprender con este tema y no has logrado aprender?

Estoy conforme con toda la información adquirida en este tema y el tema ha quedado
comprendido en cada una de las partes en las que fue dividido.

TEMA 4 – Actividades