Contexto

En este procedimiento vamos a realizar el análisis de un volcado de memoria de un ordenador personal perteneciente a un estudiante de bachillerato llamado Pacopepe, sospechoso de realizar una falsa amenaza de bomba en su centro escolar para que así se cancelara un examen. Hasta ahora, los investigadores sólo cuentan con el testimonio de un compañero del sospechoso, llamado Benji. La amenaza se realizó mediante una llamada telefónica desde un teléfono público, y su autor no ha podido ser identificado hasta el momento. Se ha realizado un análisis forense del teléfono móvil del sospechoso, pero no se ha encontrado ninguna evidencia que lo vincule con el caso.

La hipótesis a confirmar es que dicho alumno realizó la falsa amenaza de bomba. Para ello se trata de encontrar evidencias en las que el sospechoso admita la autoría de los hechos. El volcado de memoria ha sido realizado con DumpIt, terminando de ejecutarse a las 19:18:02 del 8 de abril de 2022 (hora de España). Dicho volcado consta de dos ficheros, una imagen de memoria y un fichero de log.

Objetivos:

Establecer una línea temporal del incidente. En particular, responder a las siguientes cuestiones:

  1. Comprueba que la imagen de memoria pertenece al ordenador del alumno, llamado "DESKTOP-01S7HH9".
  2. Determina el PID del proceso correspondiente a una aplicación para visualizar documentos PDF. ¿Cuál es su proceso padre?
  3. Determina a través de los manejadores qué documento estaba editando el alumno durante la redada policial.
  4. Encuentra pruebas de que el usuario del equipo está tras la falsa amenaza de bomba.

Ficheros:

  1. Imagen de memoria del ordenador del sospechoso
  2. Archivo de log de DumpIt
  3. Fichero de hashes

Informes:

(Enlaces sólo para personal autorizado)

  1. Informe del forense