Professional Documents
Culture Documents
EVIDENCIAS: Proveedor de
almacenamiento, PID de procesos,
fechas, rutas...
Contiene detalles de la fase de
instalación web de Windows 8
%AppData%\Local\Microsoft\Websetup (Windows 8)
EVIDENCIAS: URLs de acceso, fases
de instalación, fechas de creación,
paquetes de programas...
Contiene información de unidades,
services pack y hotfixes.
%AppData%\setupapi.log
EVIDENCIAS: Unidades locales y
extraibles, programas de
instalación, programas instalados,
actualizaciones de seguridad,
reconocimiento de dispositivos
conectados...
Contiene información de acciones,
%SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml errores y estructuras de SID cuando
%WINDIR%\PANTHER\*.log,xml se actualiza desde una versión
anterior de windows.
Contiene configuraciones de
programas
EVIDENCIA:Contiene el código de
producto y la versión instalada
Cada vez que encendemos el Computador, Windows realiza un seguimiento de la forma en que se inicia el
equipo y los programas que se abren o utilizan habitualmente. Para ello el sistema guarda esta información en
una serie de archivos en la carpeta Prefetch de modo que la próxima vez que se encienda el equipo,
Windows iniciará estos archivos para acelerar el proceso de inicio.
No es necesario eliminar ni vaciar su contenido. Si vaciamos la carpeta los programas tardarán más en abrirse
la próxima vez que encienda el equipo.
Esta carpeta ha sido reconocida como un artefacto útil en la comunidad forense y hay algunas herramientas
existentes para analizar los archivos 'pf'. Las características que ofrece entre otras, son la última fecha de
ejecución de un programa y el número de veces que se ha ejecutado.
Pero hay más que eso, ¡Mucho más! El archivo 'pf' también registra información sobre el disco, el número de
serie y la marca de tiempo de creación de la unidad. Esta información se almacena para todos los volúmenes
y es muy útil para encontrar números de serie de las unidades externas utilizadas para poner en marcha las
aplicaciones o para descubrir los archivos que han sido abiertos desde el propio dispositivo o disco duro
externo.
El funcionamiento básicamente consiste en que el servicio "Programador de tareas" (que se ejecuta bajo
'svchost') se utiliza (entre otras cosas) para grabar páginas de memoria que son utilizadas con frecuencia por
las aplicaciones, así de esta forma cuando se pone en marcha un programa, durante los primeros diez
segundos, esta es monitorizada por el "Windows cache manager" y el resultado de esta información se
escriben en un archivo PF cuyo nombre tendrá la nomenclatura "programa.extension-HASH.pf".
\\Device\\HarddiskVolume1\\WINDOWS\\system32\\WRITE.EXE
Por lo tanto desde el punto de vista forense una aplicación ejecutada en el sistema operativo deja rastro.
LAYOUT.INI
El resultado del procesado del programador de tareas se almacena en un archivo de nombre 'Layout.ini' en el
mismo directorio Prefetch, y este archivo a su vez es utilizado por el desfragmentador de disco, dándole
instrucciones para reordenar los archivos en posiciones secuenciales en el disco. Por lo tanto si desaparece
este archivo nos vamos a encontrar que no funciona correctamente el defragmentador.
ESTRUCTURA
Y observando los offset y cabeceras con un editor nos encontramos con la siguiente estructura:
Por otro lado la clave del registro que se identifica con prefetch es:
WINDOWS 8
Windows 8 aún utiliza el mismo algoritmo para el cálculo del hash y la estructura del archivo de PF es aún la
misma. El único cambio parece ser la adición de siete nuevas marcas de tiempo. Esto se debe a que ahora en
el archivo se almacena la fecha y hora de las últimas ocho veces que se ejecuta la aplicación.
ESTRUCTURA
Particularmente es muy útil para temas de propiedad intelectual, con este sistema y diversas aplicaciones
como la de nirsoft, podemos saber si una persona ha instalado y utilizado un determinado programa. Tuve un
caso concreto de copias piratas con AUTOCAD y aunque la empresa negaba la existencia, las evidencias del
directorio prefetch fueron muy claras a ese respecto. Evidentemente esto es solo una parte.
Otro caso concreto fue la utilización de prefetch para descubrir fugas de datos o archivos que se han abierto
desde dispositivos externos y ya por último, aunque algo más burdo es posible descubrir la utilización de
malware y/o programas espías, así como documentos eliminados que hubieran estado en cualquier
dispositivo.
Ejemplo de descubrimiento del troyano VANQUISH
Por lo tanto en un análisis forense es muy aconsejable la utilización de esta carpeta para la búsqueda de
evidencias.
Muchas veces los examinadores se preguntan ¿cómo recuperar archivos de un disco con
sistema de archivo NTFS después de que éste haya sido formateado?. Porque para ser más
concretos al realizar un formato rápido de los nuevos sistemas operativos Windows 7 o
Windows 8, se pueden perder bastantes archivos.
Como datos básicos, el sistema de archivos NTFS almacena información sobre los archivos
escritos en el disco en un archivo de sistema especial denominado $MFT tabla maestra de
archivos, en el que un registro de archivo ocupa 1 KB. Cuando Windows realiza un formato
rápido de un disco como un volumen NTFS, crea un archivo $MFT vacío de un tamaño mínimo
establecido por defecto: 32 KB en Windows XP, 64 KB en Windows Vista y 256 KB en Windows
7. Si se van a escribir más archivos en el disco y el archivo $MFT existente no es lo
suficientemente grande, el sistema aumenta su tamaño y puede fragmentarlo como un
archivo normal. En realidad, los archivos $MFT están bastante fragmentados en los discos
reales y contienen 3-10 datos que residen en diferentes lugares del disco, es decir, los
directorios y los archivos están representados con una entrada especial dentro de éste
archivo.
La tabla maestra de archivos es la que contiene todos y cada uno de los archivos que
componen un volumen, es decir, que cuando el sistema operativo consulta el contenido de
un archivo, debe dirigirse a la $MFT para obtener información del mismo, como: tamaño,
propiedades, atributos, localización, nombres de archivos, eventos que sucede en el sistema,
número de cluster, entre otros datos. La $MFT es como una base de datos que almacena todo
lo que necesita a la hora de consultar o acceder a un archivo o directorio.
El registro contiene información valiosa para el investigador que apoya en el aspecto del análisis
forense. Aquí se almacenan configuraciones y opciones que contiene el Sistema Operativo
Windows tanto como a bajo nivel como también las ejecuciones en la plataforma: Kernel, Drivers,
services, SAM, interfaz de usuario, aplicaciones de tercero, todos estos utilizan el registro de
Windows.
HKEY_USERS (HKU): Almacena toda la información de configuración de todos los usuarios del
sistema.
Los archivos Log de una maquina, sea la que sea, son una fuente de informacion
importantisima en un analisis forense. Los sistemas Windows basados en NT tienen su
principal fuente de Log en los archivos de sistema siguientes:
SysEvent.Evt. Registra los sucesos relativos al sistema
SecEvent.Evt. Registra los sucesos relativos a la seguridad
AppEvent.Evt. Registra los sucesos relativos a aplicaciones
%systemroot%\system32\config
Por ejemplo, el evento 624 es el referido por Windows para un suceso de creacion de
cuenta de usuario. En la siguiente imagen podremos ver como lo registra Windows.
Otro ejemplo de suceso, seria el relativo al inicio de sesion. Windows almacena este
suceso con el identificador 528.
Windows tiene distintos archivos Log para auditar los posibles sucesos y/o errores que
puedan surgir en la vida util del sistema operative Algunos de ellos son:
WindowsUpdate.log (Log de Windows Update) memory.dump (Archivos de volcado de
memoria) Archivos de registro de Windows (Software, System, etc..)