Queremos crear un listado de las direcciones más relevantes para un forense en Windows, en este caso Windows 10. Con un formato sencillo y que sirva como chuleta para los profesionales del peritaje informático y desarrolladores de aplicaciones. Esto es un listado público y colectivo. Es decir, si conoces alguna dirección, archivo o identificas algún error dejanoslo en los comentarios e iremos actualizando la página.
También queremos hacer “mapas” de los diferentes sistemas operativos:
  • Linux
  • IOS
  • Android

Insisto si conoces algún archivo o dirección que quieras añadir a la lista puedes dejarlo en los comentarios y lo añadimos. Gracias.

Registros y eventos de Windows

C:\Windows\System32\Config

Es importante también anotar las carpetas detalladas son sólo ubicaciones por defecto. El administrador puede designar ubicaciones para registros individuales dentro de las siguientes llaves del registro de Windows.

HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application
HKLM\SYSTEM\CurrentControlSet\Services\EventLog\System
HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security

Prefetch

La función primordial de la carpeta Prefetch es alojar datos directos de las aplicaciones que ejecutamos dentro del sistema con el objetivo de que estas sean cargadas mucho más rápido agilizando así el proceso de trabajo.

Básicamente, Microsoft ha desarrollado Prefetch como un algoritmo que tiene la habilidad de detectar y prever errores de la cache, especialmente cuando el sistema operativo solicita datos que no existen en el almacenamiento cache local, y Prefetch se encarga de almacenar estos datos, que no existen, en la cache para que su acceso sea mucho más veloz.

Otra de las carpetas que podemos hallar en la raíz de Windows es la carpeta Superfetch la cual esta constituida como una función capaz de determinar o decidir que aplicación o programa debe ser ejecutado para, de este modo, cargar todos los archivos y datos asociados de este en la memoria

  • %SYSTEMROOT%\Prefetch

La configuración por defecto de Prefetch está alojada en los registros de Windows en la siguiente ubicación:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters.

Shellbags

C:\Users\%user%\NTuser.dat

UserNotPresent

Windows genera un archivo llamado “ScreenOnPowerStudyTraceSession-YYYY-MM-DD-HH-MM-SS.etl” cuando se realiza una suspensión programada y “user-not-present-trace-YYYY-MM-DD-HH-MM-SS.etl” cuando se remota la actividad, aunque no se haga efectivo el login. Para más información https://unminioncurioso.blogspot.com/2018/12/dfir-usernotpresent-cuando-entiende_23.html

C:\Windows\System32\SleepStudy

Navegadores web

Historiales:

Internet Explorer
C:\Users\%user%\AppData\Local\Microsoft\Windows\History
Chrome
C:\Users\%user%\AppData\Local\Google\Chrome\User Data\Default
Mozilla
%APPDATA%\Mozilla\Firefox\Profiles
Cache:
  1. Con Internet Explorer.
    C:\Documents and Settings\%user%\Configuración local\Archivos temporales de Internet.
  2. Con Firefox.
    C:\Documents and Settings\%user%\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\unos_números_y_letras.default\Cache
  3. Con Safari.
    C:\Documents and Settings\%user%\Configuración local\Datos de programa\Apple Computer\Safari/cache.db
  4. Con Chrome de Google.
    C:\Documents and Settings\%user%\Configuración local\Datos de programaGoogle\Chrome\User Data\Default\Cache.
  5. Con Opera.
    C:\Documents and Settings\%user%\Datos de programa\Opera\profile\cache4 ó C:\Archivos de programa\Opera\profile\cache4.

Artículos y blogs de forense informático y DFIR:

Fuentes utilizadas:

  • https://github.com/orlikoski/CyLR
  • https://unminioncurioso.blogspot.com/2018/12/dfir-usernotpresent-cuando-entiende_23.html
  • https://www.sans.org/security-resources/posters/windows-forensics-evidence-of/75/download para descargar el PDF de SANS click aquí