Scribd
Cargar
172 vistas7 páginas

HXD Practica

Este documento describe el uso de la herramienta forense HxD para examinar la memoria principal y los procesos en ejecución de una computadora. Un empleado reportó un comportamiento extraño en su computadora después de que un intendente estuvo cerca de su escritorio. Los analistas forenses utilizaron HxD para examinar la lista de procesos y la memoria, encontrando una ruta de carpeta inofensiva en lugar de algún archivo malicioso.

Cargado por

Nereyda Guadalupe Arteaga Trejo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
172 vistas7 páginas

HXD Practica

Este documento describe el uso de la herramienta forense HxD para examinar la memoria principal y los procesos en ejecución de una computadora. Un empleado reportó un comportamiento extraño en su computadora después de que un intendente estuvo cerca de su escritorio. Los analistas forenses utilizaron HxD para examinar la lista de procesos y la memoria, encontrando una ruta de carpeta inofensiva en lugar de algún archivo malicioso.

Cargado por

Nereyda Guadalupe Arteaga Trejo
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Herramienta forense HxD

Objetivo (s):

Parte 1: Descargar de la herramienta HxD


Parte 2: Examinar la memoria principal y analizar la información Parte 3:
Dar informe de los resultados

Competencia especifica:

Comprender el caso y uno de los usos que tiene la herramienta

Introducción

HxD es un editor hexadecimal rápido y cuidadosamente diseñado que, además de la


edición y modificación del disco sin formato de la memoria principal (RAM), maneja
archivos de cualquier tamaño.

Practica o caso (Planteamiento del problema):

Un empleado reportó con el equipo de análisis forense, que su computador funcionaba de


una manera extraña, él dijo también que al regresar a su cubículo de trabajo notó que un
intendente iba saliendo del lugar, pero no tenía sus accesorios para limpieza, y que al ver
el escritorio se veía de otra manera como si faltara un archivo, este dijo que había dejado
su computadora sin contraseña por lo que le era fácil que alguien más la utilizara, estos
rápidamente pensaron en algún archivo ejecutable y checaron la lista de procesos de la
computadora.
Ellos encontraron un proceso de nombre extraño por lo que utilizaron la herramienta HxD
para examinarlo.

1
Procedimiento:

Parte 1: Descargar de la herramienta HxD

Buscamos la página de descarga de HxD y seleccionamos “descargar por HTTP” del


idioma inglés, portable, escogemos la ruta donde se almacenará el archivo y lo
descomprimimos.

Para instalarlo daremos clic en el ejecutable, aceptamos los cambios en el equipo y


seleccionamos el idioma.

2
Se abrirá el instalador y aceptamos los términos.

3
Seleccionamos la ubicación donde lo instalaremos.

Nos pedirá la configuración para la herramienta, la dejaremos por defecto y damos


instalar.

4
Parte 2: Examinar la memoria principal y analizar la información

Para saber qué proceso era el que estaban buscando, con el cmd de Windows checaron la
lista de procesos con el comando “tasklist”

Al checar los procesos se toparon con un proceso raro llamado svchost.exe

5
Así que decidieron utilizar la herramienta HxD, con el comando “ctrl + shif + M” abres la
ventana de memoria principal, donde también es posible ver los procesos.

Los analistas preguntaron que, si había ingresado su correo pensando en que se tratará de
robo de credenciales, el empleado respondió que sí, y lo buscaron.

6
Parte 3: Dar informe de los resultados

Lo que encontraron resultó ser la ruta de una carpeta.

Por lo que determinaron que se trataba de un archivo inofensivo y no era necesario parar el
proceso mediante el comando “TASKKILL” en cmd.

Resultados y/o cuestionario:

Como se puede ver los analistas no encontraron un proceso sospechoso, sin embargo,
solo se pretendía mostrar una función de la herramienta.

También podría gustarte