LOS ARTIFACTS EN LA INFORMÁTICA FORENSE

Algunos de los artifacts más importantes

Papelera de reciclaje

Almacena datos que se han eliminado, ofreciendo la posibilidad de ser recuperados, ya que un usuario podría borrarlos por error. Estos pueden ser útiles en un análisis y existen métodos para ver archivos ocultos en la papelera. Al directorio donde se almacena esta dirección se le llama: $ Recycle.Bin

Navegadores web

Los navegadores almacenan una gran cantidad de información sobre las actividades que ha realizado el usuario cuando visita distintas páginas de internet o realiza búsquedas, teniendo cada uno (GoogleChrome, Firefox, Microsoft Edge…) sus ventajas y desventajas.

El navegador además contiene información relevante como los diferentes login, cuentas de usuario, credenciales o datos que requiere la función autocompletar. Estos son almacenados y es posible acceder a ellos para su recuperación. Estos datos son accesibles en las diferentes rutas donde cada navegador guarda su información, un ejemplo de ello, en Firefox, sería el siguiente directorio: C: \ Users \% USERNAME% \ AppData \ Mozilla \ Firefox \ Profiles \ fcp6fltm.default donde podríamos ver información cacheada sobre la actividad del usuario.

La función de Informes de Errores de Windows (WER)

Esta función incorporada en el SO de Windows permite a los usuarios notificar a Microsoft sobre fallas de aplicaciones, fallas del kernel, aplicaciones que no responden y otros problemas específicos de la aplicación. Esta puede proporcionar información que indican si un programa (malicioso o no) ha fallado durante su ejecución. Existen diferentes rutas donde se puede investigar este tipo de archivos, se pueden encontrar en los siguientes directorios: C: \ ProgramData \ Microsoft \ Windows \ WER \ y C: \ Users \ XXX \ AppData \ Local \ Microsoft \ Windows \ WER \

El caché del RDP (Remote Desktop Protocol)

Es uno de los vectores más famosos que utilizan las distintas familias de malware para moverse lateralmente a través de una red. Este protocolo proporcionado por Windows permite la comunicación en la ejecución de una aplicación entre una terminal y un servidor Windows. El modo de funcionamiento del protocolo es sencillo. La información gráfica que genera el servidor es convertida a un formato propio RDP y enviada a través de la red al terminal, que interpretará la información contenida en el paquete del protocolo para reconstruir la imagen a mostrar en la pantalla del terminal.

Estos archivos pueden proporcionar información sobre los vectores de ataque ante un posible incidente y se pueden visualizar en la siguiente ruta, con herramientas específicas: C: \ Users \ XXX \ AppData \ Local \ Microsoft \ Terminal Server Client \ Cache

Archivos de registro

Los registros de Windows contienen una gran cantidad de detalles sobre los eventos que se han producido en el SO. Es el tesoro de cualquier analista forense. Es una base de datos jerarquizada que contiene todo lo relacionado con la configuración del sistema, la actividad del usuario, dispositivos externos conectados, software instalado, etc.

La gran cantidad de información que contiene hace que requiera de mucha práctica y de herramientas específicas para su exploración y obtención de evidencias relevantes. Pero cualquier usuario le puede echar un vistazo de forma sencilla.

En el cuadro de búsqueda de la barra de tareas, escriba regedit, a continuación, seleccione Editor del Registro (aplicación de escritorio) en los resultados.