¿Cuál de los dispositivos o componentes de un computador contendrá evidencias tipo archivos?
Dentro de in equipo de computo podemos encontrar evidencias de tipo archivos, en dispositivos como Discos duros, memoria RAM, o dispositivos de almacenamiento externo que fueron conectados al equipo como memorias USB o memorias SD.
¿Qué tipo de evidencias puede contener el sistema operativo?
En el sistema operativo podemos encontrar información almacenada en distintos lugares, que nos permiten encontrar evidencias.
En los datos generados por el sistema operativo, podemos encontrar fuentes de evidencia. Estos datos generados pueden ser:
- Registro de Windows
- NTUser.dat
- Información en Memoria RAM ( aceptados en algunos países)
- Pagefile.sys
- Hiberfil.sys
- Log del sistema
- System restore
- Análisis de discos dutos ( Ram Slack – file slack, unlocatte space, entre otros)
¿Se podrán encontrar evidencias en la memoria principal?
Si, en la memoria principal del sistema podemos encontrar información que puede servir como evidencia, aunque la información aquí almacenada es volátil, se puede encontrar información útil como: Procesos de ejecución, conexiones activas, Drivers cargados, direcciones web, contraseñas y servicios.
No hay comentarios:
Publicar un comentario