Mobile Forensics
Mobile Forensics (Español)
Mobile Forensics (Español)
  • Introduction
  • Preparations
    • Knowledge
    • Safety
    • Trust
    • Backup
  • Methodology
  • Verificar computadoras con Windows
    • Revisar programas que se ejecutan al encender la computadora
    • Revisar los procesos en ejecución
    • Revisar las conexiones de red
    • Extraer datos para su análisis posterior
  • Checking Mac Computers
    • Review Programs Launching at Startup
    • Review Running Processes
    • Review Kernel Extensions
    • Review Network Connections
    • Review XProtect Logs
    • Extract Data for Further Analysis
  • Verificación de smartphones
    • Nota: temario
    • Estructura del sistema de un smartphone
    • Verificar los dispositivos vinculados a las aplicaciones de mensajería
    • Verificar los mensajes sospechosos
    • Monitorear el tráfico de red
    • Nota: Monitorear el tráfico de red en Linux
  • Checking Android Devices Basic
    • Review Installed Applications
    • Check Storage
    • Check if the Phone is under Android Device Policy
    • Check if the Phone is Rooted
    • Check if Developer Options is Enabled
    • Analyze Applications
    • Extract Data for Further Analysis
    • Optional : Check for Indicators of Stalkerware Installation
  • Checking Android Devices Advanced
    • Wireshark
    • MVT
    • Other Tools
  • Checking iOS Devices
    • Review iCloud Accounts
    • Review Installed Applications
    • Check for Mobile Device Management Profiles
    • Check for Shortcuts
    • Check for Jailbreaks
    • Enable and Check App Privacy Report
    • Extract Data for Further Analysis
    • Analyzing Extracted Data
    • About Lockdown Mode
  • Checking Devices Remotely
    • Mac Computers
    • Android
  • Concluding a Forensic Gathering
  • References and Further Learning
  • License and Credits
Powered by GitBook
On this page
  1. Verificar computadoras con Windows

Extraer datos para su análisis posterior

PreviousRevisar las conexiones de redNextChecking Mac Computers

Last updated 5 months ago

es una herramienta que permite volcar la información de inicio y los procesos reales, junto con la memoria para su análisis posterior. Es muy útil, por ejemplo, si no tiene tiempo para revisar todo lo que hay en la computadora y desea volver a verificar si hay algo sospechoso más adelante.

Debe ejecutar este programa desde una memoria USB con suficiente espacio de almacenamiento, haga doble clic en el archivo binario y siga las instrucciones.

A menos que tenga una buena razón para hacerlo, se recomienda no tomar una instantánea de memoria, ya que contiene mucha información privada (por ejemplo, puede contener contraseñas).

Una vez finalizado, creará una carpeta con el nombre del ID de adquisición (una secuencia de números hexadecimales), que contiene:

  • Un archivo profile.json que contiene información básica sobre el sistema de la computadora.

  • Un archivo process_list.json que contiene una lista de procesos en ejecución.

  • Un archivo autoruns.json que contiene una lista de todos los elementos con persistencia en el sistema.

  • Una carpeta autoruns_bins/ que contiene copias de los archivos y ejecutables marcados para persistencia en el archivo JSON anterior.

  • Una carpeta process_bins/ que contiene copias de los procesos en ejecución.

  • Si se solicita, una carpeta memory/ que contendrá un volcado de memoria física junto con algunos metadatos.

pcqf
A screenshot of a window with a commandline program running therein. The program is PCQF and is asking the user if they would like to take a memory snapshot.