Análisis Forense Informático

Artefactos Windows

Miguel Ángel Gómez Ortiz de Landazuri

1. Con respecto a los “prefetch”:

a. ¿Qué son?

Son archivos de Windows que se utilizan para mejorar el rendimiento del sistema operativo. Su
función principal de los archivos prefetch es precargar los archivos ejecutables que se utilizan
con frecuencia en la memoria del sistema, lo que permite que los programas se inicien más
rápido

b. ¿Qué extensión tienen los ficheros?

.pf

c. ¿En qué directorio los podemos encontrar?

Se encuentran en « %WINDIR %\prefetch»

d. ¿Qué información forense guardan que pueda ser importante para una investigación?

Por cada programa ejecutado se crea un número prefetch que contiene información sobre el
programa, como son el path, la fecha y hora de modificación, creación y última vez que se
ejecutó, así como una lista de las dependencias cargadas por la aplicación en los primeros 30
segundos de su ejecución.

2. En cuanto a los “LOGs”

a. ¿Cuáles piensas que son los más importantes por el contenido que guardan?

%WINDIR%\setupact.log: Contiene información acerca de las acciones de instalación durante la

misma.

%WINDIR%\setuperr.log: Contiene información acerca de los errores de instalación durante la

misma.

%WINDIR%\WindowsUpdate.log: Registra toda la información de transacción sobre la

actualización del sistema y aplicaciones.

%WINDIR%\Debug\mrt.log: Resultados del programa de eliminación de software malintencionado

de Windows.

%WINDIR%\security\logs\scecomp.old: Componentes de Windows que no han podido ser

instalados.

1
%WINDIR%\SoftwareDistribution\ReportingEvents.log: Contiene eventos relacionados con la
actualización.

%WINDIR%\Logs\CBS\CBS.log: Ficheros pertenecientes a “Windows Resource Protection” y que

no se han podido restaurar.

%AppData%\Local\Microsoft\Websetup (Windows 8): Contiene detalles de la fase de instalación

web de Windows 8.

%AppData%\setupapi.log: Contiene información de unidades, services pack y hotfixes.

%SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml%WINDIR%\PANTHER\*.log,xml:
Contiene información de acciones, errores y estructuras de SID cuando se actualiza desde una
versión anterior de windows.

%WINDIR%\INF\setupapi.dev.log: Contiene información de unidades Plug and Play y la

instalación de drivers.

%WINDIR%\INF\setupapi.app.log: Contiene información del registro de instalación de las

aplicaciones.

%WINDIR%\Performance\Winsat\winsat.log: Contiene trazas de utilización de la aplicación

WINSAT que miden el rendimiento del sistema.

*.INI: Contiene configuraciones de programas.

%WINDIR%\Memory.dmp: Contiene información sobre los volcados de memoria.

EL.CFG Pid.txt: Estos archivos se usan para automatizar la página de entrada de la clave de
producto en el programa de instalación de Windows.

%WINDIR%\System32\config%WINDIR%\System32\winevt\Logs: Contiene los logs de Windows

accesibles desde el visor de eventos.

%PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support

%PROGRAMDATA%\Microsoft\Microsoft Security Client\Support: Logs del motor de antimalware.

b. ¿Dónde los podemos encontrar?

Se visualizan en el Visor de Eventos y se almacenan en la carpeta %SystemRoot%\System32\

winevt\Logs.

2
3. En cuanto al fichero de hibernación “hiberfil.sys”

a. ¿Dónde lo podemos encontrar?

En la carpeta raíz de la unidad donde está instalado el sistema operativo.

b. ¿Qué herramienta podemos utilizar para decodificar su contenido?

El framework Volatility.

c. ¿Piensas que es importante la información que contiene?

Hiberfil.sys es importante porque contiene una memoria temporal del estado actual del sistema y
se usa para las funciones de ahorro de energía.

4. Con respecto a las instantáneas, puntos de restauración y/o volume shadow copies service
(VSS):

a. ¿Qué sistema de archivos necesitamos para poder usar esta tecnología?

NTFS.

b. ¿Viene activada por defecto o la tiene que activar el usuario?

El servicio Shadow Copy viene activado por defecto.

c. ¿Cada cuánto tiempo se realizan?

Por defecto, el servicio de instantáneas de volumen crea una instantánea una vez al día. Aunque
este servicio permite configurar una periodicidad a elección del administrador. El servicio de
instantáneas de volumen crea una instantánea de los archivos.

d. Piensa en un par de escenarios donde puedan ser de utilidad.

Si por accidente borramos un archivo importante en nuestro Windows, podemos utilizar el

servicio de instantáneas de volumen para recuperar el archivo.

Otro escenario podría ser que quisiéramos hacer una instantánea de nuestro sistema si vamos a
instalar o trastear con algún programa que pudiera modificar nuestro sistema.

3
5. Contesta a las siguientes cuestiones relacionadas con el registro de Windows:

a. Investiga cómo importar y exportar claves de registro en entornos CLI y GUI.

Para importar las claves de registro a nuestro registro local de nuestro equipo, podemos utilizar
el comando reg import nos permite copiar un archivo que contiene las claves y subclaves del
registro exportado.

Y para exportar claves de registro de nuestro Windows podemos usar el comando reg export.
Este comando nos permite copiar nuestras claves y subclaves del registro de otro windows al
nuestro.

b. Enumera las claves que, desde un punto de vista forense, son interesantes exportar y
analizar explicando qué información revelan.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion: Esta clave

contiene información sobre el sistema operativo, la versión, la fecha de instalación, el nombre del
equipo, etc.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall: Esta clave

contiene información sobre los programas instalados en el sistema, nombre, la versión, la fecha
de instalación, etc.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum: Esta clave contiene información

sobre los dispositivos conectados al sistema, nombre, fabricante, modelo, el número de serie,
etc.

HKEY_CURRENT_USER\Software: Esta clave contiene información sobre los programas

utilizados por el usuario actual, configuraciones, historiales, etc.

6. ¿Qué tipos de eventos nos pueden interesar inspeccionar desde un punto de vista forense?
Pon un par de ejemplos.

Evento 4624: Este evento se registra cuando se inicia sesión en el sistema.

Evento 4634: Este evento se registra cuando se cierra sesión en el sistema.

Evento 4688: Este evento se registra cuando se crea un proceso nuevo.

Evento 4697: Este evento se registra cuando se crea un servicio nuevo.

Evento 7045: Este evento se registra cuando se instala un nuevo controlador de dispositivo.

4
7. Investiga sobre qué herramientas software podemos utilizar a la hora de trabajar sobre los
artefactos estudiados en el tema: prefetch, logs, fichero de hibernación, volume shadow
copies service, registro del sistema, gestión de eventos, enlaces, cachés e historial de
navegación y papelera de reciclaje.

Recuva es capaz de restaurar archivos que han sido borrados permanentemente.

RegRipper es una herramienta de análisis forense digital utilizada para extraer información del
registro de Windows. Diseñada para ayudar en la identificación de actividades sospechosas en
sistemas Windows mediante la extracción y análisis del registro.

ChromeCacheView es una utilidad que lee la carpeta de caché de Google Chrome y muestra la
lista de todos los archivos almacenados actualmente en la caché.

ShadowExplorer permite explorar y recuperar archivos de las copias de seguridad creadas por el
servicio de copias de sombra de volumen (VSS) .

PARTE B

La práctica consiste en extraer todas las evidencias posibles de un sistema operativo Windows
haciendo búsquedas dirigidas a los diferentes artefactos de los que hace uso. Aunque en la
práctica real se haría en base a una imagen de un sistema operativo, en la presente práctica se
recomienda, por agilidad, usar el sistema operativo que esté usando el alumnado en su equipo.

Software a utilizar:

A. Windows 10 (32 o 64 bits)

B. FTK Imager FTK Imager

C. Arsenal Image Mounter

D. Registry Explorer

E. Reg Ripper

F. WRR

G. LinkParser

H. JumpListExplorer

I. ShellbagExplorer

J. USB Detective

5
Se pide:

1. Utilizar FTK Imager para extraer de tu equipo y/o imagen montada los ficheros adecuados
donde analizar las evidencias.

2. Repasar, uno por uno, los diferentes artefactos Windows que se listan a continuación e ir
comentando con descripciones y/o capturas de pantalla la información que se va obteniendo.

6
Obviamente para cada artefacto será necesario extraer con (1) la evidencia que recoge este
tipo de información, como por ejemplo el registro de windows (C:\windows\system32\config
SYTEM, SOFTWARE, SAM, etc).

● Versión del sistema, nombre de la máquina y zona horaria.

Software\Microsoft\Windows NT\CurrentVersion

7
8
● Fecha de último acceso

System\ControlSet001\Control\Filesystem

9
● Hora de apagado

System\ControlSet001\Control\Windows

10
● Interfaces de red

System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{GUID_INTERFACE}

● Histórico de redes

11
Software\Microsoft\Windows NT\CurrentVersion\NetworkList\

Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache

12
● Cuándo se conectó a una red

Software\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles

13
14
15
● Carpetas compartidas

System\ControlSet001\Services\lanmanserver\Shares\

● Programas de inicio

16
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce

17
Software\Microsoft\Windows\CurrentVersion\Runonce

18
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

19
Software\Microsoft\Windows\CurrentVersion\Run

20
● Búsquedas en la barra de búsqueda

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

21
● Rutas en Inicio o Explorer

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths

22
● Documentos recientes

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

23
● Documentos ofimáticos recientes

NTUSER.DAT\Software\Microsoft\Office\{Version}\{Excel|Word}\UserMRU

24
● Posición de lectura sobre el último documento abierto

NTUSER.DAT\Software\Microsoft\Office\\Word\Reading Locations\Document X.

25
● Ficheros ofimáticos autoguardados

C:\Usuarios\\AppData\Roaming\Microsoft\{Excel|Word|Powerpoint}\

26
● OpenSaveMRU: Ficheros que han sido abiertos o guardados dentro de una
ventana Windows.

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaved

27
PidlMRU

● Últimos comandos ejecutados

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

28
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\Policies\RunMRU

29
He comprobado tanto en una máquina virtual como en mi ordenador personal de sobremesa, y
no tengo la carpeta Policies\RunMRU.

● UserAssistKey: Programas ejecutados desde el Escritorio

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{GUID}\Count

30
● Eventos asociados a la barra de tareas

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage

31
● Aplicaciones recientes

Software\Microsoft\Windows\Current Version\Search\RecentApps

32
33
La evidencia que indica este enunciado no existe en la ruta que especifica. Como resultado he
buscado tanto en system como en NTUSER.dat ambos archivos en una máquina virtual y en mi
ordenador personal, y no he encontrado el artefacto que menciona el enunciado.

● Documentos recientes (LinkParses o LeCMD)

C:\Users\\AppData\Roaming\Microsoft\Windows\Recent

34
35
36
37
38
● Automatic & Custom destinations (JumpListExplorer)

C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

39
40
41
42
C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

43
● Shellbags: Acceso y tiempos MAC a directorios (ShellbagExplorer)

44
45
46
47
USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags

USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU Desktop

48
NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU

● Dispositivos MTP

C:\users\\Appdata\Local\Temp\WPDNSE\{GUID}

49
No tengo la carpeta que pide el ejercicio.

● Almacenamiento USB. Identificadores de fabricante(VID) y de producto (PID)

SYSTEM\ControlSet001\Enum\USBSTOR

● Nombres de volúmenes USB

50
SOFTWARE\Microsoft\Windows Portable Devices\Devices

● Localizar el usuario que ha utilizado el USB

System\MoutedDevices

51
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2

52
● Número de serie de volumen lógico

Software\Microsoft\Windows NT\CurrentVersion\EMDMgmt

No tengo el artefacto que pide el ejercicio.

53
● Primera y última vez que se conectó el dispositivo

System\ControlSet001\Enum\USBSTOR\{VEN_PROD_VERSION}\{USBserial}\Properties\
{83da6326- 97a6-4088-9453-a1923f573b29}\

C:\Windows\inf\setupapi.dev.log

54
● Base de datos Cortana, si existiese, en versiones anteriores a Windows
10.0.17763.55 (Sqlite studio)

\Users\user_name\AppData\Local\Packages\Microsoft.Windows.Cortana_xxxx\LocalState\
ESEDatabase_CortanaCoreInstance\CortanaCireDb.dat

No tengo el artefacto que pide el ejercicio.

● Notificaciones de Windows (sqlite studio)

55
\Users\{user_name}\AppData\Local\Microsoft\Windows\Notifications\wpndatabase.db

● Timeline (Windows TimelineParser)

\Users\{user_name}\AppData\Local\ConnectedDevicesPlatform\\ActivitiesCache.db

56
● Windows Store (SQLite Studio)

\Users\{user_name}\ProgramData\Microsoft\Windows\AppRepository\
StateRepositoryDeployment.srd

57
58
59
El artefacto original no me dejaba mostrarlo con la herramienta. Investigando parece ser que no
deja abrir el archivo porque parece que está corrupto o corrompido. Por el motivo que sea no me
deja subirlo. La solución ha sido crear una copia nueva del archivo y está si me ha dejado abrir
con SQLitestudio.

60
Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\

Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

61
● Thumbnails (thumbviewer) & Thumbcaché (thumbcacheviewer)

Ficheros “thumbs.db”

62
C:\Users\\AppData\Local\Microsoft\Windows\Explorer

63
64
● Papelera de reciclaje

Contenido de carpeta “$Recycle.bin” (Rifiuti)

● OfficeFileCache (OfficeFileCacheParser)

65
\Users\(Username)\AppData\Local\Microsoft\Office\(Office Version)\OfficeFileCache

No aparece la carpeta que pide el enunciado.

● OfficeBacktage (OfficeBackstageParser)

\{Users}\AppData\Local\Microsoft\Office\16.0\BackstageinAppNavCache

66
● IP Pública (ETLParser)

C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\
DeliveryOptimization\Logs\

67
● Histórico de PowerShell

68
\{Users}\\%AppData%\Roaming\Microsoft\Windows\PowerShell\PSReadline\
ConsoleHost_history.txt

● Windows PREFETCH (LeCMD)

C:\Windows\Prefetch

69
● Windows SuperFetch (Crowndresponse)

C:\Windows\Prefetch\Ag*.db

70
● SRUM (SRUM DUMP y NetworkUsageView)

71
C:\Windows\System32\sru\SRUDB.dat

72
73
74
75
● ShimCache (ShimCacheParser)

76
SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache

77
78
● AmCache (AmCacheParser)

C:\Windows\AppCompat\Programas\Amcache.hve

79
80
81
● Tareas programadas

C:\Windows\Tasks o C:\Windows\System32\Tasks

● Servicios (Registry Explorer)

82
SYSTEM\ControlSet001\Services

● BAM (DCode)

83
SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}

84
SYSTEM\CurrentControlSet\Services\bam\state\UserSettings\{SID}

85
● Eventos (Event-Log Explorer)

C:\Windows\system32\winevt\Logs

86
87
88