ANALISIS FORENSE DIGITAL

SEMANA 5

JOSE RAMIREZ CORTES

01-05-2023
TECNICO NIVEL SUPERIOR EN CIBERSEGURIDAD
DESARROLLO
1. En función del contenido de esta semana en el cual se abordó lo relativo a la clasificación de
artefactos, ejemplifique 3 procedimientos asociados a la recolección de evidencia desde un dispositivo
USB (3 puntos).

Número de serie del volumen: Descubre el número de serie de volumen de la partición de sistema de
archivos en el USB. (Nota: este no es el número de serie único USB que se crea cuando se inicializa un
sistema de archivos).

Plug & Play Event Log: Cuando se intenta instalar un controlador Plug and Play, el servicio registrará un
evento ID 20001 y proporcionará un estado dentro del evento. Es importante señalar que este evento se
disparará para cualquier dispositivo compatible con Plug and Play, incluyendo pero no limitado a
dispositivos USB, Firewire y PCMCIA.

Letra de unidad y nombre de volumen: Descubre la letra de unidad del dispositivo USB cuando se conectó
en el equipo.

2. En un computador personal con Microsoft Windows, realice una revisión de los registros de Windows
Registry Hives, el denominado HKEY_CLASSES_ROOT y presente pantallazos de los diferentes pasos
realizados acompañados estos de una breve explicación (3 puntos).

Como primer paso iniciamos el buscador e introducimos “REGEDIT” para iniciar el editor del registro. Y lo
ejecutamos en modo “administrador”.
Nos abre la siguiente ventana, ubicamos “HKE_CLASSES_ROOT”.

Lo seleccionamos y nos muestra todas las carpetas, las que serian muchas como para describirlas en su
totalidad.

En el artículo HKCR: Para qué sirve en el Registro de Windows de Tecnonautas (2019b) menciona:

“HKEY_CLASSES_ROOT, a menudo abreviado como HKCR, es una colmena de registro en el Registro de

Windows y contiene información de asociación de extensión de archivo, así como un identificador
programático (ProgID), un ID de clase (CLSID) y un ID de interfaz (IID).

En los términos más sencillos posibles, la colmena de registro HKEY_CLASSES_ROOT contiene la

información necesaria para que Windows sepa qué hacer cuando se le pide que haga algo, como ver el
contenido de una unidad, o abrir un cierto tipo de archivo, etc.”

“Cada uno de estos registros guardan información sobre lo que el SO debe hacer cuando se le da una
orden. Puede incluir la lista de programas que se encuentra en la sección «Abrir con….» al hacer clic con el
botón derecho del ratón/tocar un archivo, y la ruta de acceso a cada aplicación listada.”
3. Ejecutando el comando “eventvwr.msc”, de preferencia utilizando privilegios de administrador en un
sistema con Microsoft Windows, presente un pantallazo donde se muestren las “Vistas Personalizadas”
y acompáñelo de una breve explicación de la información desplegada (3 puntos).
Esta es una de las herramientas de diagnóstico más relevantes de Microsoft Windows, ya que

permite conocer los errores o las alertas que se han producido, así como obtener los datos para

averiguar la causa que los ha provocado; todo ello, de un modo muy sencillo.

Esta herramienta permite trazar líneas de tiempo y analizar los eventos que han ido ocurriendo en

el sistema para poder resolver un incidente relacionado con la detección de vulnerabilidades, fallos

en el sistema, etc (IACC 2020)

REFERENCIAS BIBLIOGRÁFICAS
IACC (2020). Proceso de adquisición de la evidencia Parte III. Semana 5

Recursos adicionales.

Tecnonautas. (2019, 24 enero). HKCR: Para qué sirve en el Registro de Windows | TecnoNautas.

TecnoNautas. https://tecnonautas.net/hkcr-para-que-sirve-en-el-registro-de-windows/