ARTEFACTOS DE SISTEMA WINDOWS

Mecanismos o procesos que dejan rastros acerca de la actividad de los

usuarios. Se seguirá una clasificación basada en elementos como el uso del
historial del navegador, dispositivos externos, programas ejecutados,etc.
Se estudiará será el Registro de Windows, que consiste en una base de datos
muy exhaustiva que contiene información de elementos del sistema
relacionada con el sistema operativo, aplicaciones del sistema y nativas, así
como aplicaciones de terceros instaladas y configuraciones de usuario y de la
máquina.

ARTEFACTOS
Procesos o mecanismos que permiten obtener el registro de toda la actividad
del sistema.
Se puede realizar una clasificación en función de los siguientes elementos:
ARCHIVOS DESCARGADOS
 Adjuntos de email
o “%USERPROFILE%\AppData\Local\Microsoft\”.
 Historial de Skype
o Skype permite que se registren las sesiones de chat y los
archivos compartidos de una maquina a otra
o Win10: “C:\Users\<username>\AppData\Roaming\Skype\
<skype-name>”.
 Index.dat
o se trata de detalles almacenados para cada cuenta de usuario
local y registra el número de veces visitadas (frecuencia)
o “%userprofile%\AppData\Local\Microsoft\Windows\History\
Low\History.IE5”.
 Pagefile.sys
o Fichero de Windows que se utiliza a fin de ampliar la capacidad
de memoria y permite el almacenamiento temporal de datos
que se intercambian entre el SO y la RAM.
 Downloads.sqlite
o Firefox tiene una aplicación integrada de gestión de descargas
que mantiene un historial de cada archivo descargado por el
usuario. Este artefacto del navegador puede proporcionar
información excelente sobre qué sitios ha estado visitando un
usuario y qué tipos de archivos ha estado descargando de ellos.
o “%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\
<randomtext>.default\downloads.sqlite”.
EJECUCION DE PROGRAMAS
 UserAssist
o Los programos basados en GUI se rastrean en “NTUSER.DAT\
Software\Microsoft\Windows\Currentversion\Explorer\
UserAssist\{GUID}\Count”.
 Ultima vista MRU
o Rastrea el ejecutable específico utilizado por una aplicación para
abrir los archivos documentados en la clave OpenSaveMRU.
Además, cada valor también rastrea la ubicación del directorio
del último archivo al que accedió esa aplicación.
o Win10: “NTUSER.DAT\Software\Microsoft\Windows\
CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU”.
 Cache de compatibilidades de aplicaciones
o Windows utiliza su base de datos de compatibilidad de
aplicaciones para identificar problemas de compatibilidad de
aplicaciones ejecutables
o “SYSTEM\CurrentControlSet\Control\Session Manager\
AppCompatCache”.
 JUMP LISTS
o La barra de tareas de Windows esta diseñada para que los
usuarios accedan a los elementos que utilizan con frecuencia.
Esta funcionalidad no solo puede incluir archivos de medios
recientes, sino también tareas recientes. Los datos almacenados
en la carpeta “AutomaticDestinations” tendrán, cada uno, un
archivo único AppID de la aplicación asociada.
o “C:\Users\<user>\AppData\Roaming\Microsoft\Windows\
Recent\AutomaticDestinations”.
 PREFETCH
o Aumenta el rendimiento de un sistema mediante la precarga de
páginas de códigos de las aplicaciones más utilizadas.
o Win10: “C:\Windows\Prefetch”.
 SERVICE EVENTS
CREACION Y APERTURA DE ARCHIVOS
 Abrir-guardar archivos recientemente utilizados
o Esta clave permite rastrear un cuadro de dialogo en Shell sobre
aplicaciones que se han abierto o guardado
o “NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\OpenSavePIDlMRU”
 Ultima visita MRU
o Rastrea el ejecutable especifico de una aplicación para abrir los
archivoc documentados en la clave OpenSaveMRU
o “NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\LastVisitedPidlMRU”.
 Archivos recientes
o Esta clave se encarga de rastrear los últimos archivos y carpetas
abiertos
o “NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\
Explorer\RecentDocs”.
 Archivos recientes de office
o Da la posibilidad al usuario de que recuerde cuál es el último
fichero o archivo que estaba editando, ya que habilita la opción
de que lo programas de Office rastreen su lista de archivos
recientes.
o “NTUSER.DAT\Software\Microsoft\Office\VERSION”.
 SHELL BAGS
o Pueden rastrear las preferencias de visualización de ventanas de
usuario en el explorador de Windows
o “USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\
Shell\Bags”.
o “USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\
Shell\BagMRUNTUSER.DAT\Software\Microsoft\Windows\Shell\
BagMRU”. “
o NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags”.
 ARCHIVOS LNK
o Archivos recientes de acceso directo creados automáticamente
por Windows
 o “C:\Users\user>\AppData\Roaming\Microsoft\Windows\
Recent\”.
o “C:\Users\user>\AppData\Roaming\Microsoft\Office\Recent\”.
ELIMINACION DE ARCHIVOS
 Search WordWheelQuery
o Palabras claves buscadas desde la barra de menú de inicio en
una maquina Windows
o “NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\
Explorer\WordWheelQuery”.
 Thumbs.db
o Archivo oculto donde están las imágenes de la maquina
o Esta almacena copia de las imágenes en miniatura
 Thumbsnails
o Los datos ahora se encuentran bajo un único directorio
o “C:\Users\username>\AppData\Local\Microsoft\Windows\
Explorer\”.
 Papelera de reciclaje
o “C:\$Recycle.bin”.

LOCALIZACION FISICA
 TIMEZONE
o Identifica la zona horaria actual del sistema
o “SYSTEM\CurrentControlSet\Control\TimeZoneInformation”.
 Historial de la red
o Esto identifica las redes a las que se ha conectado el equipo
(SSID y MAC)
o “SOFTWARE\Microsoft\Windows NT\CurrentVersion\
NetworkList\Signatures\Unmanaged”
 COOKIES
o Ofrecen información sobre los sitios web visitados
o IE11“SOFTWARE\Microsoft\WindowsNT\CurrentVersion\
NetworkList\Signatures\Unmanaged”
 o Firefox “%userprofile%\AppData\Roaming\Mozilla\Firefox\
Profiles\<randomtext>.default\cookies.sqlite”.
o Chrome “%userprofile%\AppData\Local\Google\Chrome\
UserData\Default\LocalStorage”.
USB y dispositivos
 Identificación clave
o Rastrea dispositivos USB conectados a una maquina
o “SYSTEM\CurrentControlSet\Enum\USBSTOR”.
o “SYSTEM\CurrentControlSet\Enum\USB”.
 Primera-ultima utilización
o Determina el uso temporal de los USB conectados al equipo
o Win10: “C:\Windows\inf\setupapi.dev.log”.
 Usuario
o Busca que usuario utilizo el dispositivo
o “SYSTEM\MountedDevices”.
 Numero de serie del volumen
o Descubre el número de serie del volumen de la partición del
sistema de archivos en el USB
o “SOFTWARE\Microsoft\Windows NT\CurrentVersion\
ENDMgmt”.
 Letra de unidad y nombre de volumen
o Descubre la letra de unidad del dispositivo USB cuando se
conecto al equipo
o “SOFTWARE\Microsoft\Windows Portable Devices\Devices
SYSTEM\MountedDevices”.
 Plug and Play event log
o Cuando se intenta instalar un controlador Plug and Play, el
servicio registra un evento ID 20001 y proporciona un estado
dentro del evento. Es importante señalar que este evento se
disparará para cualquier dispositivo compatible con Plug and
Play, incluyendo, pero no limitado a dispositivos USB, FireWire y
PCMCIA.
o Win10: “%system root%\System32\winevt\logs\System.evtx”.
USO DE CUENTAS
 ULTIMO LOGIN
o Enumera las cuentas locales del sistema y sus identificadores de
seguridad equivalentes.
o “C:\windows\system32\config\SAM SAM\Domains\Account\
Users”.
 ULTIMO CAMBIO DE CONTRASEÑA
o Muestra la ultima vez que se cambio la contraseña de un usuario
especifico
o “C:\windows\system32\config\SAM SAM\Domains\Account\
Users”.
 Inicios de sesión validos o erróneos
o Determina que cuentas han sido utilizadas para intentos de
inicio de sesión por lo que permite controlar el uso de cuentas
comprometidas conocidas, a través de los identificadores de
eventos (4624/4625/4634).
o Win10: “%system root%\System32\winevt\logs\Security.evtx”.
 TIPOS DE INICIO DE SESION
o Aporta datos muy específicos como el nombre de usuario, host,
estado de éxito, etc etc
o Win10 Event ID 4624.
 USO DE RDP
o Realiza el seguimiento de los inicios de sesión de Protocolo de
Escritorio Remoto en las maquinas a través de los identificadores
4778/4779.
 EVENTOS DE SERVICIOS
o Permite revisar los servicios iniciados o detenidos en ujn
momento dado a través de los identificadores
7034/7035/7036/7040.

EL REGISTRO DE WINDOWS
Es una gran base de datos que contiene información exhaustiva acerca de la
multitud de elementos que componen un sistema Microsoft Windows.
La información que esta contiene se almacena en diferentes archivos
dependiendo de la versión del sistema operativo al que pertenezca el
registro. Esto representa una valiosa fuente de información en la que se
encuentran las configuraciones de usuarios, de aplicaciones, las acciones
efectuadas por el usuario y cómo las ha realizado, junto con otros múltiples
datos funcionales.
ANALISIS ONLINE
El registro se puede analizar de manera online con muchas metodologías
como exportación de claves, extracción de datos o comparación de ficheros.
ANALISIS OFFLINE
Hay que tener presente que, si el sistema está infectado con algún malware
que utilice tecnologías rootkit de ocultación, es posible que se obtenga
información falseada. Por ello, es necesario realizar un análisis offline del
registro. Para un correcto análisis offline del registro completo, se han de
realizar copias de todas las ubicaciones en las que se pueden encontrar las
bases de datos que conforman este registro.
VISOR DE EVENTOS
Una de las principales herramientas de análisis y diagnóstico de Windows es
su visor de eventos, ya que habilita al usuario a trazar líneas de tiempo y
llevar a cabo un análisis de los eventos que han ido ocurriendo en el sistema.
El visor de eventos se carga con el comando eventvwr.msc y es
recomendable realizarlo con privilegios de administrador, ya que permitirá
tener un mayor control sobre los logs del sistema.
REGISTROS DE WINDOWS
En esta categoría se incluye una gran cantidad de registros a nivel de sistema
operativo que se dividen en:
 Aplicación
 Instalación
 Seguridad
 Sistema
 Eventos reenviados
Los eventos están clasificados por un identificador que determina el tipo de
evento y a que esta asociado
REGISTROS DE APLICACIONES Y SERVICIOS
Estos registros almacenan los eventos, aplicaciones, servicios o componentes
sin impacto sobre todo el sistema.
Hay que tener cuidado por dos partes:
 Como este visor de eventos registra todo lo que pasa, su acceso a el se
registra y esto puede contaminar la evidencia
 Existen mecánicas de hackeo las cuales eliminan u ocultan estos
registros

PREFETCH
Todo lo que ocurre desde que se arranca el ordenador queda almacenado en
un conjunto de archivos dentro de la carpeta “Prefetch”, de modo que la
próxima vez que se arranque el ordenador el sistema accederá a dicha
carpeta para acelerar la carga.
(Es como la memoria cache para el arranque de Windows)
Hay disponibles varias herramientas para el manejo de archivos .PF, pero se
puede destacar WinPrefetchView2 (disponible en:
http://www.nirsoft.net/utils/win_prefetch_view.html), ya que permite
visualizar de modo legible la información de estos ficheros y es muy útil en un
análisis forense en busca de evidencias, instalación de aplicaciones, para
detectar intrusiones de algún tipo de malware, etc.