Skip to content

Preguntas de entrevista de Windows Internals

The registry, processes, Active Directory, tokens and Windows-centric attack and defence.

25 preguntas preguntas en este conjunto
Una amenaza se ejecuta solo en memoria, sin ningún archivo en disco. ¿Cómo la analizas?

El malware fileless vive en la memoria de los procesos (inyección, carga reflectiva, LOLBins), así que adquiere y analiza una imagen de memoria para hallar el código inyectado, los módulos sospechosos y las relaciones entre procesos. Un escaneo antivirus del disco y un disco limpio no te dicen nada de un implante en memoria. La papelera de reciclaje es irrelevante. El análisis de memoria es la herramienta adecuada cuando no hay archivo que triar, y debes capturar antes de reiniciar el host.

SeniorMalwareWindows Internals
La respuesta completa
El EDR marca un proceso leyendo la memoria de LSASS. ¿Por qué importa y qué haces?

LSASS almacena credenciales y secretos en caché, así que un proceso inesperado leyendo su memoria es el sello del robo de credenciales (por ejemplo, un volcado de tipo mimikatz). Tría el proceso ofensor y su padre, aísla el host para detener el movimiento lateral, y rota las credenciales que pudieron capturarse — incluidas las cuentas privilegiadas y de servicio. No tiene nada que ver con el renderizado gráfico ni el espacio en disco, e ignorarlo como normal puede llevar a un compromiso de todo el dominio. Los distractores de apariencia inocua son justo cómo los analistas pasan por alto una intrusión activa.

Mid-levelWindows InternalsIdentity & Access Management
La respuesta completa
Un usuario abrió un documento de Office y habilitó las macros; el EDR muestra luego un proceso hijo generado por Word. ¿Cuál es tu primera acción?

Word generando un proceso hijo justo después de habilitar las macros es un patrón clásico de acceso inicial por documento malicioso. Aísla el host para limitar la propagación, captura las pruebas volátiles, e investiga el proceso generado, su actividad de red y cualquier persistencia. Pedir al usuario que cierre el archivo o reparar Office no aborda una carga útil en ejecución que quizá ya corrió. No hacer nada porque el archivo llegó por correo es al revés — el correo es justamente el vector de entrega de este ataque. Contén primero, luego investiga.

JuniorWindows InternalsDFIR (Forensics & Incident Response)
La respuesta completa
En Windows, una alerta muestra una nueva tarea programada que lanza PowerShell desde %TEMP%. ¿Qué es probablemente y cuál es tu acción?

El software legítimo rara vez ejecuta PowerShell desde %TEMP% mediante una tarea programada recién creada — es una técnica común de persistencia y ejecución. Examina la definición de la tarea, el script invocado, el proceso creador y la cronología, contén el host y barre el entorno en busca del mismo patrón. Las actualizaciones no se ven así, confiar ciegamente en las tareas programadas ignora una TTP conocida, y borrar System32 rompe el sistema operativo sin hacer nada contra la amenaza. Las tres primeras opciones reflejan un criterio peligrosamente débil.

Mid-levelWindows InternalsDFIR (Forensics & Incident Response)
La respuesta completa
¿Cuál es la diferencia entre un EDR y un antivirus tradicional basado en firmas?

El antivirus tradicional coteja archivos contra firmas de malware conocido y los bloquea o pone en cuarentena: bueno contra amenazas conocidas, débil ante ataques nuevos o sin archivo. El EDR registra de forma continua el comportamiento del endpoint (procesos, red, registro, memoria), usa analítica de comportamiento para detectar actividad sospechosa y permite a los respondedores investigar, cazar y contener o revertir de forma remota. El AV es prevención por firma; el EDR añade visibilidad, detección y respuesta.

JuniorMalwareDFIR (Forensics & Incident Response)Windows Internals
La respuesta completa
Nombra las formas comunes en que el malware persiste en un host Windows entre reinicios, y cómo las cazarías.

La persistencia es cómo el malware sobrevive a reinicios y cierres de sesión. Los básicos en Windows son las claves Run/RunOnce del registro (HKLM y HKCU), las tareas programadas y los servicios de Windows, además de las carpetas de inicio, las suscripciones a eventos WMI y el secuestro de DLL. Los cazas con autoruns/Sysinternals, Sysmon y los registros de eventos, buscando binarios sin firmar, rutas extrañas como %AppData% y entradas creadas justo tras el compromiso inicial.

Mid-levelWindows InternalsMalwareDFIR (Forensics & Incident Response)
La respuesta completa
Explica el orden de volatilidad y por qué dicta la secuencia de recopilación de evidencia en DFIR.

El orden de volatilidad clasifica la evidencia según lo rápido que se desvanece, para recopilar primero lo más frágil. A grandes rasgos: registros/caché de CPU, luego RAM y estado en ejecución (procesos, conexiones de red, ARP), luego archivos temporales/swap, luego disco, luego registro y datos de monitorización remotos y, por último, soportes de archivo y copias de seguridad. También trabajas sobre copias forenses, las hasheas y mantienes una cadena de custodia para que la evidencia siga siendo admisible.

Mid-levelDFIR (Forensics & Incident Response)Windows InternalsLinux Internals
La respuesta completa
¿Dónde se almacenan los hashes de contraseñas de usuario en Windows y en Linux, y por qué los atacantes apuntan a esos archivos?

En Windows, los hashes de cuentas locales (NTLM) viven en la subárbol SAM en C:\Windows\System32\config\SAM, protegido mientras el SO está en marcha; las credenciales vivas residen en la memoria de LSASS, y los hashes de dominio están en NTDS.dit en un controlador de dominio. En Linux, los hashes están en /etc/shadow (legible solo por root), mientras que /etc/passwd guarda los metadatos de la cuenta. Los atacantes los roban para crackear contraseñas sin conexión o hacer pass-the-hash.

JuniorWindows InternalsLinux InternalsIdentity & Access Management
La respuesta completa
Explica la inyección de procesos, da un par de técnicas y di cómo la detecta un equipo azul.

La inyección de procesos ejecuta el código del atacante dentro del espacio de memoria de un proceso legítimo para que la actividad se mezcle y herede la confianza de ese proceso. Las técnicas clásicas incluyen la inyección de DLL (CreateRemoteThread + LoadLibrary), el process hollowing (lanzar un proceso benigno suspendido, desmapearlo, escribir código malicioso) y la inyección APC. Los defensores la detectan con hooks de API del EDR, relaciones padre/hijo o regiones de memoria anómalas (RWX, memoria ejecutable sin respaldo en archivo) y eventos CreateRemoteThread de Sysmon.

SeniorWindows InternalsMalwareDFIR (Forensics & Incident Response)
La respuesta completa
¿Qué IDs de evento y registros de Windows consultarías primero durante la investigación de una intrusión?

El registro Security es primario: 4624 inicio de sesión correcto (con tipo de inicio), 4625 inicio fallido, 4634/4647 cierre de sesión, 4672 privilegios especiales asignados, 4720 cuenta creada, 4688 creación de procesos (con línea de comandos si está habilitada) y 4768/4769 Kerberos. Añade 7045 instalación de servicio (registro System), 4698 tarea programada creada y el registro de bloques de script de PowerShell (4104). El tipo de inicio de sesión y la auditoría de líneas de comandos son lo que hace útiles estos registros.

Mid-levelWindows InternalsDFIR (Forensics & Incident Response)
La respuesta completa
Explica cómo funciona la autenticación Kerberos con TGT y tickets de servicio.

Kerberos depende de un centro de distribución de claves (KDC) de confianza. El cliente se autentica una vez ante el servidor de autenticación y obtiene un ticket de concesión de tickets (TGT) cifrado con la clave del KDC. Para alcanzar un servicio, presenta el TGT al servicio de concesión de tickets y recibe un ticket de servicio cifrado con la clave de ese servicio. El servicio lo descifra y confía en él. Las contraseñas nunca atraviesan la red, y los tickets tienen tiempo limitado.

SeniorIdentity & Access ManagementWindows Internals
La respuesta completa
¿Cuándo recurres a Ghidra o IDA frente a un depurador como x64dbg, y cómo se complementan?

Un desensamblador como Ghidra o IDA te da el mapa estático completo: referencias cruzadas, pseudocódigo decompilado y cada ruta de código se ejecute o no. Un depurador como x64dbg te permite ejecutar el ejemplar bajo control — poner breakpoints, inspeccionar registros y memoria, observar el descifrado ocurrir, y seguir la ruta que el código toma realmente con entradas reales. Se lee la estructura y la intención estáticamente, luego se adjunta el depurador para resolver lo que el análisis estático no puede: cadenas descifradas en tiempo de ejecución, APIs resueltas dinámicamente, cargas útiles empaquetadas y qué rama toma una condición. Los dos juntos cierran sus mutuas carencias.

SeniorMalwareWindows Internals
La respuesta completa
¿Qué son los packers y la ofuscación, y cómo se detectan en un binario?

El empaquetado comprime o cifra la carga útil real y le antepone un stub que la desempaqueta en memoria en tiempo de ejecución; la ofuscación transforma el código o los datos para resistir la lectura y las firmas. El empaquetado se detecta por una entropía de sección alta cercana a 8,0, una tabla de imports diminuta o solo de stub, nombres de sección inusuales o escribibles-ejecutables como UPX0, un punto de entrada fuera de .text, un gran tamaño virtual frente a un pequeño tamaño en bruto, y detectores como Detect It Easy o PEiD. Ninguno de estos es concluyente por sí solo, así que los analistas ponderan varias señales juntas y confirman observando el desempaquetado en tiempo de ejecución.

Mid-levelMalwareWindows Internals
La respuesta completa
Guíame por el formato de archivo PE de Windows y qué partes inspeccionas al triar un ejemplar.

Un archivo PE empieza con la cabecera DOS y su puntero e_lfanew a las cabeceras PE/NT, que contienen el File Header y el Optional Header (punto de entrada, image base, subsistema). Está dividido en secciones — .text para el código, .data, .rdata, .rsrc para los recursos — cada una con una dirección virtual y un tamaño en bruto. Durante el triaje se lee la tabla de imports en busca de API sospechosas, la tabla de secciones por nombres extraños y entropía alta que insinúan empaquetado, el timestamp y el rich header, los recursos incrustados y cualquier firma digital. Las discrepancias entre estos elementos dicen mucho antes incluso de ejecutar el archivo.

Mid-levelMalwareWindows Internals
La respuesta completa
Explica las técnicas comunes de inyección de procesos y las firmas de API y de comportamiento que las revelan.

La inyección de procesos ejecuta código malicioso dentro de otro proceso para ocultarse y heredar su confianza. La inyección remota clásica reserva memoria en un objetivo con VirtualAllocEx, escribe una carga útil vía WriteProcessMemory y la ejecuta con CreateRemoteThread. Las variantes incluyen la inyección de DLL vía LoadLibrary, el process hollowing que desmapea un proceso legítimo suspendido y reemplaza su imagen, la inyección APC que encola código en un hilo, y la carga reflexiva o mapeada manualmente que evita LoadLibrary por completo. Se detectan por las secuencias de API reveladoras, la memoria RWX en un proceso normalmente limpio, los hilos sin archivo de respaldo en disco y las anomalías padre-hijo.

SeniorMalwareWindows Internals
La respuesta completa
Describe cómo desempaquetas una muestra packed para llegar al código original.

El desempaquetado recupera el código original que el packer ocultó. Para packers conocidos usas el desempaquetador correspondiente o un emulador. Para packers personalizados desempaquetas manualmente: ejecutas la muestra en un depurador, dejas que el stub descomprima el payload en memoria, encuentras el momento en que salta al original entry point (a menudo poniendo un breakpoint en memoria que pasa a ser ejecutable, o en el tail jump), luego vuelcas la imagen del proceso desde memoria y reconstruyes la import address table con una herramienta como Scylla o PE-sieve. El resultado es un PE ejecutable o analizable que contiene el payload real.

SeniorMalwareWindows Internals
La respuesta completa
¿Qué compruebas cuando encuentras SMB y SNMP abiertos en un host?

Para SMB, enumera los recursos compartidos, comprueba el acceso anónimo/sesión nula, lista los usuarios e identifica la versión para CVE conocidas. Para SNMP, prueba community strings por defecto como «public» y recorre la MIB para extraer nombres de usuario, procesos en ejecución, software instalado y detalles de red.

Mid-levelWindows InternalsNetworking
La respuesta completa
¿Cómo abordas la escalada de privilegios en un objetivo Windows?

Enumera los privilegios actuales (whoami /priv), los servicios mal configurados (permisos débiles, rutas de servicio sin comillas), AlwaysInstallElevated, las tareas programadas, las credenciales almacenadas y los parches que faltan. WinPEAS o PowerUp automatizan el barrido; los abusos de privilegios de token como SeImpersonate son victorias frecuentes de alto valor.

SeniorWindows Internals
La respuesta completa
Explícame el Kerberoasting paso a paso: cómo funciona, por qué es posible y cómo lo detienen los defensores.

Cualquier usuario autenticado del dominio puede solicitar un ticket de servicio Kerberos (TGS) para cualquier cuenta con un SPN. Ese ticket se cifra con el hash de contraseña NTLM de la cuenta de servicio, así que lo extraes y crackeas la contraseña sin conexión — sin necesidad de acceso privilegiado para empezar, y es casi silencioso.

SeniorWindows InternalsCryptography
La respuesta completa
Has comprometido un host en una red segmentada. Explica cómo pivotas para alcanzar sistemas que no puedes tocar directamente.

El pivoting convierte un host comprometido en un relé para alcanzar segmentos internos a los que tu máquina no puede enrutar. Usas reenvío de puertos, un proxy SOCKS sobre tu canal C2 (p. ej. Chisel, el reenvío dinámico de SSH) o enrutamiento por agente, y luego ejecutas herramientas a través de ese túnel para atacar la siguiente subred.

SeniorNetworkingWindows Internals
La respuesta completa
Has conseguido una shell con pocos privilegios en un host Windows. ¿Cómo escalas privilegios?

Enumera los privilegios de la cuenta y las malas configuraciones del host: privilegios de token como SeImpersonate, rutas de servicio sin comillas, permisos de servicio débiles, AlwaysInstallElevated y credenciales almacenadas. Luego abusa del más fiable — la suplantación de token (ataques Potato) es una vía común a SYSTEM.

Mid-levelWindows InternalsIdentity & Access Management
La respuesta completa
Ambos implican inicios de sesión fallidos. ¿Cómo distinguirías un ataque de fuerza bruta de un password spray en tus registros?

La fuerza bruta apunta a una sola cuenta con muchos intentos de contraseña, por lo que se ven muchos fallos concentrados en un mismo usuario. El password spray lo invierte: una o pocas contraseñas comunes probadas en muchas cuentas, de forma lenta y sigilosa, de modo que cada cuenta solo registra un par de fallos. La señal de detección es la proporción de cuentas frente a fallos y el timing, no el número bruto de fallos.

Mid-levelIdentity & Access ManagementDFIR (Forensics & Incident Response)Windows Internals
La respuesta completa
¿Puedes explicar en qué se diferencian EDR, XDR y SIEM y dónde encaja cada uno?

El EDR se centra en el endpoint: registra y responde a la actividad de procesos, archivos y red en los hosts. El XDR extiende esa correlación a varios dominios —endpoint, red, identidad, correo, nube— como una stack integrada de un mismo proveedor. El SIEM es la capa amplia de agregación de logs que ingiere datos de cualquier fuente, incluidas las no de seguridad, para detección, búsqueda y cumplimiento.

JuniorDFIR (Forensics & Incident Response)Windows Internals
La respuesta completa
Un atacante tiene un punto de apoyo en un host. ¿Qué signos de movimiento lateral buscarías?

El movimiento lateral es un atacante que usa un punto de apoyo para alcanzar otros sistemas. Los signos incluyen logons de red inesperados (tipo 3) y RDP (tipo 10), acceso a recursos compartidos admin como C$ y ADMIN$, herramientas de ejecución remota como PsExec, WMI y WinRM, patrones de pass-the-hash, y una cuenta normalmente local que de repente se autentica en muchos hosts.

SeniorWindows InternalsDFIR (Forensics & Incident Response)Identity & Access Management
La respuesta completa
Explícame qué significan los event IDs de Windows 4624, 4625 y 4688 y cómo los usarías en una investigación.

4624 es un logon exitoso, 4625 es un logon fallido y 4688 es una creación de proceso. En una investigación usas 4625 para detectar ataques de credenciales, 4624 (con su tipo de logon y su origen) para confirmar un acceso exitoso y cómo ocurrió, y 4688 para ver qué se ejecutó realmente, idealmente con la auditoría de línea de comandos habilitada.

JuniorWindows InternalsDFIR (Forensics & Incident Response)
La respuesta completa

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.