Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Tema 8

    Cargado por

    lionell.nivek
    6 vistas4 páginas

    Título original

    tema_8

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    Descargar como pdf o txt
    6 vistas4 páginas

    Tema 8

    Cargado por

    lionell.nivek

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    Descargar como pdf o txt
    de 4

    6/30/24, 6:46 PM Test Tema 8: Revisión del intento

    Comenzado el domingo, 30 de junio de 2024, 18:44


    Estado Finalizado
    Finalizado en domingo, 30 de junio de 2024, 18:46
    Tiempo empleado 1 minutos 12 segundos
    Calificación 10,00 de 10,00 (100%)

    Pregunta 1
    Entre las capacidades de un ransomware, no se encuentra:
    Correcta

    Se puntúa 1,00 Cifrar los archivos.


    sobre 1,00
    Atacar terceras máquinas.
    Pedir compensación económica.
    Publicar datos de la organización.

    Aunque algún ransomware tiene capacidades de movimiento lateral, no es lo que define este tipo de malware.

    Pregunta 2 El malware Ryuk es de tipo:


    Correcta

    Se puntúa 1,00 RAT.


    sobre 1,00
    Ransomware.
    Botnet.
    Scareware.

    Es un ransomware, aunque normalmente va acompañado de un RAT que lo ejecuta.

    https://campusonline.unir.net/mod/quiz/review.php?attempt=2578613&cmid=220289 2/6
    6/30/24, 6:46 PM Test Tema 8: Revisión del intento

    Pregunta 3
    A la hora de analizar un sistema Windows, ¿qué aspecto estudiaremos que no está presente en otros sistemas?
    Correcta

    Se puntúa 1,00 El sistema de archivos.


    sobre 1,00
    El registro.
    Los procesos.
    La red.

    El registro de Windows es un elemento muy particular, que aporta mucha información, y no está presente en otros sistemas.

    Pregunta 4 ¿Qué formato tienen los ejecutables de Windows?


    Correcta

    Se puntúa 1,00 EXE.


    sobre 1,00
    PE.
    DLL.
    ELF.

    El formato de los .exe y .dll es Portable Executable.

    Pregunta 5
    Cuando interpretamos el código máquina mediante mnemónicos (opcodes), utilizamos:
    Correcta

    Se puntúa 1,00 Un decompilador.


    sobre 1,00
    Un desensamblador.
    Un reversador.
    Un debugger.
    https://campusonline.unir.net/mod/quiz/review.php?attempt=2578613&cmid=220289 3/6
    6/30/24, 6:46 PM Test Tema 8: Revisión del intento
    gg

    Convertimos el código máquina (ceros y unos) en ensamblador.

    Pregunta 6
    Cuando un binario utiliza funciones de otro, llamándolo a través del sistema operativo, decimos que está:
    Correcta

    Se puntúa 1,00 Imbricado.


    sobre 1,00
    Dinámicamente enlazado.
    Estáticamente enlazado.
    Bifurcado.

    Si incluyese dichas funciones en el binario, sería estáticamente enlazado.

    Pregunta 7 La diferencia entre CALL y JMP es:


    Correcta

    Se puntúa 1,00 JMP es condicional.


    sobre 1,00
    CALL crea un marco de ejecución y JMP no.
    JMP crea un marco de ejecución y CALL no.
    Solo se puede usar CALL si existe un RET.

    Ambas funciones modifican el flujo de ejecución, pero CALL crea un marco de ejecución nuevo.

    Pregunta 8
    Desde la versión gratuita de IDA, no podremos:
    https://campusonline.unir.net/mod/quiz/review.php?attempt=2578613&cmid=220289 4/6
    6/30/24, 6:46 PM Test Tema 8: Revisión del intento
    Correcta

    Se puntúa 1,00 Desensamblar.


    sobre 1,00
    Decompilar.
    Depurar.
    Renombrar funciones.

    Para ello, necesitaríamos el decompilador de Hex-Rays. Podemos optar, cuando lo necesitemos, por usar Ghidra.

    Pregunta 9
    El puntero con el que el procesador referencia la instrucción que se está ejecutando se llama:
    Correcta

    Se puntúa 1,00 ESP.


    sobre 1,00
    EBP.
    EIP.
    EAX.

    Es el Instruction Pointer del registro.

    Pregunta 10 ¿Cuáles de estas afirmaciones es falsa?


    Correcta

    Se puntúa 1,00 A la hora de analizar malware hay que centrarse en «reversear» los ejecutables dejando de lado otros elementos o 
    sobre 1,00
    perderemos el foco.
    Sin analizar el código del ejecutable, no llegaremos a comprender del todo su funcionalidad.
    Analizando las funciones importadas por el malware podemos hacernos una idea de cuál va a ser su forma de operar.
    Hay que analizar las funciones exportadas por el malware, por si está actuando para dar soporte a otro componente.

    https://campusonline.unir.net/mod/quiz/review.php?attempt=2578613&cmid=220289 5/6

    También podría gustarte