¿ Cual de los dispositivos o componentes de un computador contendrá evidencia tipo archivo?
Las fuentes de evidencia pueden ser muchas. Los archivos almacenados que puedan servir como prueba son todos aquellos hardware que contengan una memoria tales como computadores, celulares, consolas, discos duros, etc. Además de eso también tenemos los datos almacenados como los ofimáticos donde podemos encontrar videos, fotografías, música entre otros. por otro lado tenemos los datos generados que son aquellos que se generan con la interacción y se desconocen tales como cuando navegamos por internet y se generan datos como cookies, cache e historial de búsqueda y los cuales son los que se registran cuando se ingresa en algún navegador
¿ Que tipo de evidencia puede contener el sistema operativo?
A la hora de buscar evidencia en sistema operativo podemos encontrar varias fuentes de registro. Para comenzar tenemos al ntUser.dat que es aquel que se encarga de guardar las configuraciones y preferencias de cada usuario de Windows ya que cada usuario tiene su propio fichero dentro de su carpeta personal. En otro sitio donde podemos hallar evidencias en la memoria Ram o como se nombra en ingles Random Access Memory y es la encargada de almacenar y cuenta con varias opciones además de ser muy veloz. Después tenemos a Pagefile.sys y es un fichero de variable tamaño que forma parte de Windows y se utiliza para almacenar datos de manera temporal parte de los datos que se encuentran almacenados en la memoria Ram. Hiberfile.sys es otro de los archivos donde podemos hallar evidencias ya que es el encargado de contener la memoria temporal y se puede usar para el ahorro de energía. En el log del sistema que es el historial del log para referirse a las grabaciones o secuencias de un archivo o una base de datos, todo es almacenado y puede ser de gran ayuda a la hora de buscar evidencias y por ultimo tenemos System Restore y es un componente de Microsoft que nos permite restaurar archivos del sistema, claves de registro, programas instalados, etc..
¿ Se podría encontrar evidencia en la memoria principal ?
Claro que si, ya que en ella se almacenan todo el tiempo los procesos de ejecución, las conexiones activas, los drivers cargados, direcciones web, password y servicios además de poder visualizar los documentos abiertos, paginas visitadas e incluso imágenes vistas. siempre y cuando en lo posible el equipo no haya sido apagado ya que la memoria ram almacena los datos de manera temporal.
Comentarios
Publicar un comentario