REGISTROS VARIOS SOBRE LA INSTALACIÓN
Contiene información acerca de las
%WINDIR%\setupact.log
%WINDIR%\setuperr.log
%WINDIR%\WindowsUpdate.log
%WINDIR%\Debug\mrt.log
%WINDIR%\security\logs\scecomp.old
%WINDIR%\SoftwareDistribution\ReportingEvents.log
acciones de instalación durante la
misma.
EVIDENCIAS: Podemos ver fechas
de instalación, propiedades de
programas instalados, rutas de
acceso, copias legales, discos de
instalación...
Contiene información acerca de
los errores de instalación durante
la misma.
EVIDENCIAS: Fallos de programas,
rutas de red inaccesibles, rutas a
volcados de memoria...
Registra toda la información de
transacción sobre la actualización
del sistema y aplicaciones.
EVIDENCIAS: Tipos de hotfix
instalados, fechas de instalación,
elementos por actualizar...
Resultados del programa de
eliminación de software
malintencionado de Windows.
EVIDENCIAS: Fechas, Versión del
motor, firmas y resumen de
actividad.
Componentes de Windows que no
han podido ser instalados.
EVIDENCIAS: DLL's no registradas,
fechas, intentos de escritura,rutas
de acceso...
Contiene eventos relacionados con
la actualización.
EVIDENCIAS: Agentes de
instalación, descargas incompletas
o finalizadas, fechas, tipos de
paquetes, rutas...

%WINDIR%\Logs\CBS\CBS.log
%AppData%\Local\Microsoft\Websetup (Windows 8)
%AppData%\setupapi.log
%SYSTEMROOT%\$Windows.~BT\Sources\Panther\*.log,xml
%WINDIR%\PANTHER\*.log,xml
%WINDIR%\INF\setupapi.dev.log
%WINDIR%\INF\setupapi.app.log
%WINDIR%\Performance\Winsat\winsat.log
Archivos pertenecientes a
‘Windows Resource Protection’ y
que no se han podido restaurar.
EVIDENCIAS: Proveedor de
almacenamiento, PID de procesos,
fechas, rutas...
Contiene detalles de la fase de
instalación web de Windows 8
EVIDENCIAS: URLs de acceso, fases
de instalación, fechas de creación,
paquetes de programas...
Contiene información de unidades,
services pack y hotfixes.
EVIDENCIAS: Unidades locales y
extraibles, programas de
instalación, programas instalados,
actualizaciones de seguridad,
reconocimiento de dispositivos
conectados...
Contiene información de acciones,
errores y estructuras de SID cuando
se actualiza desde una versión
anterior de windows.
EVIDENCIAS: Fechas, rutas, errores
, medio de instalación, dispositivos,
versiones, reinicio, dispositivos
PnP...
Contiene información de unidades
Plug and Play y la instalación de
drivers.
EVIDENCIAS: Versión de SO, Kernel,
Service Pack, arquitectura, modo
de inicio, fechas, rutas, lista de
drivers, dispositivos conectados,
dispositivos iniciados o parados...
Contiene información del registro
de instalación de las aplicaciones.
EVIDENCIAS: Fechas, rutas, sistema
operativo, versiones, archivos,
firma digital, dispositivos...
Contiene trazas de utilización de
la aplicación WINSAT que miden el
rendimiento del sistema.
EVIDENCIA: Fechas, valores sobre
la tarjeta gráfica, CPU, velocidades,
 puertos USB...

Contiene configuraciones de
programas

*.INI EVIDENCIA: Rutas, secciones,

parámetros de usuarios...
Contiene información sobre los
%WINDIR%\Memory.dmp volcados de memoria.

EVIDENCIA: Rutas, programas,

accesos, direcciones de memoria,
listado de usuarios, contraseñas,
conexiones...
Estos archivos se usan para
EL.CFG automatizar la página de entrada
Pid.txt de la clave de producto en el
programa de instalación de
Windows.

EVIDENCIA:Contiene el código de
producto y la versión instalada

LOG DE EVENTOS DE WINDOWS

Contiene los logs de Windows

%WINDIR%\System32\config accesibles desde el visor de
%WINDIR%\System32\winevt\Logs eventos.

EVIDENCIAS: Casi todas. Entradas,

fechas, accesos, permisos,
programas, usuario, etc...

MICROSOFT SECURITY ESSENTIALS

Logs del motor de antimalware

%PROGRAMDATA%\Microsoft\Microsoft Antimalware\Support
EVIDENCIAS: Fechas, versión del
%PROGRAMDATA%\Microsoft\Microsoft Security Client\Support motor, programas analizados,
actividad del malware...

Cada vez que encendemos el Computador, Windows realiza un seguimiento de la forma en que se inicia el
equipo y los programas que se abren o utilizan habitualmente. Para ello el sistema guarda esta información en
una serie de archivos en la carpeta Prefetch de modo que la próxima vez que se encienda el equipo,
Windows iniciará estos archivos para acelerar el proceso de inicio.

Podríamos decir que es una super-cache de datos, librerías y aplicaciones.

No es necesario eliminar ni vaciar su contenido. Si vaciamos la carpeta los programas tardarán más en abrirse
la próxima vez que encienda el equipo.
Esta carpeta ha sido reconocida como un artefacto útil en la comunidad forense y hay algunas herramientas
existentes para analizar los archivos 'pf'. Las características que ofrece entre otras, son la última fecha de
ejecución de un programa y el número de veces que se ha ejecutado.

Ejemplo de Winprefetchview de nirsoft.com

Pero hay más que eso, ¡Mucho más! El archivo 'pf' también registra información sobre el disco, el número de
serie y la marca de tiempo de creación de la unidad. Esta información se almacena para todos los volúmenes
y es muy útil para encontrar números de serie de las unidades externas utilizadas para poner en marcha las
aplicaciones o para descubrir los archivos que han sido abiertos desde el propio dispositivo o disco duro
externo.

El funcionamiento básicamente consiste en que el servicio "Programador de tareas" (que se ejecuta bajo
'svchost') se utiliza (entre otras cosas) para grabar páginas de memoria que son utilizadas con frecuencia por
las aplicaciones, así de esta forma cuando se pone en marcha un programa, durante los primeros diez
segundos, esta es monitorizada por el "Windows cache manager" y el resultado de esta información se
escriben en un archivo PF cuyo nombre tendrá la nomenclatura "programa.extension-HASH.pf".

El hash es un número de 32 bits, representado en hexadecimal y se ve como por ejemplo "WRITE.EXE-

A606B53C.pf". Este hash se calcula a partir de la ruta completa de la aplicación que será de la forma:

\\Device\\HarddiskVolume1\\WINDOWS\\system32\\WRITE.EXE

Por lo tanto desde el punto de vista forense una aplicación ejecutada en el sistema operativo deja rastro.
LAYOUT.INI

El resultado del procesado del programador de tareas se almacena en un archivo de nombre 'Layout.ini' en el
mismo directorio Prefetch, y este archivo a su vez es utilizado por el desfragmentador de disco, dándole
instrucciones para reordenar los archivos en posiciones secuenciales en el disco. Por lo tanto si desaparece
este archivo nos vamos a encontrar que no funciona correctamente el defragmentador.

Ejemplo del archivo Layout.ini

ESTRUCTURA

Y observando los offset y cabeceras con un editor nos encontramos con la siguiente estructura:
Por otro lado la clave del registro que se identifica con prefetch es:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters

WINDOWS 8

Windows 8 aún utiliza el mismo algoritmo para el cálculo del hash y la estructura del archivo de PF es aún la
misma. El único cambio parece ser la adición de siete nuevas marcas de tiempo. Esto se debe a que ahora en
el archivo se almacena la fecha y hora de las últimas ocho veces que se ejecuta la aplicación.

ESTRUCTURA

¿EN QUE PODEMOS UTILIZAR PREFETCH?

Particularmente es muy útil para temas de propiedad intelectual, con este sistema y diversas aplicaciones
como la de nirsoft, podemos saber si una persona ha instalado y utilizado un determinado programa. Tuve un
caso concreto de copias piratas con AUTOCAD y aunque la empresa negaba la existencia, las evidencias del
directorio prefetch fueron muy claras a ese respecto. Evidentemente esto es solo una parte.

Otro caso concreto fue la utilización de prefetch para descubrir fugas de datos o archivos que se han abierto
desde dispositivos externos y ya por último, aunque algo más burdo es posible descubrir la utilización de
malware y/o programas espías, así como documentos eliminados que hubieran estado en cualquier
dispositivo.
 Ejemplo de descubrimiento del troyano VANQUISH

Por lo tanto en un análisis forense es muy aconsejable la utilización de esta carpeta para la búsqueda de
evidencias.

Los Básicos De Forense: La Tabla Maestra De Archivos ($MFT)

Muchas veces los examinadores se preguntan ¿cómo recuperar archivos de un disco con
sistema de archivo NTFS después de que éste haya sido formateado?. Porque para ser más
concretos al realizar un formato rápido de los nuevos sistemas operativos Windows 7 o
Windows 8, se pueden perder bastantes archivos.

Como datos básicos, el sistema de archivos NTFS almacena información sobre los archivos
escritos en el disco en un archivo de sistema especial denominado $MFT tabla maestra de
archivos, en el que un registro de archivo ocupa 1 KB. Cuando Windows realiza un formato
rápido de un disco como un volumen NTFS, crea un archivo $MFT vacío de un tamaño mínimo
establecido por defecto: 32 KB en Windows XP, 64 KB en Windows Vista y 256 KB en Windows
7. Si se van a escribir más archivos en el disco y el archivo $MFT existente no es lo
suficientemente grande, el sistema aumenta su tamaño y puede fragmentarlo como un
archivo normal. En realidad, los archivos $MFT están bastante fragmentados en los discos
reales y contienen 3-10 datos que residen en diferentes lugares del disco, es decir, los
directorios y los archivos están representados con una entrada especial dentro de éste
archivo.

La tabla maestra de archivos es la que contiene todos y cada uno de los archivos que
componen un volumen, es decir, que cuando el sistema operativo consulta el contenido de
un archivo, debe dirigirse a la $MFT para obtener información del mismo, como: tamaño,
propiedades, atributos, localización, nombres de archivos, eventos que sucede en el sistema,
número de cluster, entre otros datos. La $MFT es como una base de datos que almacena todo
lo que necesita a la hora de consultar o acceder a un archivo o directorio.

Conociendo lo anterior, es importante a la hora de realizar análisis forense de dispositivos de

almacenamiento digital como discos duros, identificar que los directorios y los archivos no
están en un área concreta del disco, sino la $MFT puede estar en diferentes zonas del disco,
indicando esto que por cada archivo o carpeta crea un registro de 1kbyte, 1024 bytes; bytes
que corresponden a la entrada que tiene una cabecera y los atributos antes mencionados. A
través de EnCase Enterprise se puede recuperar archivos y carpetas NTFS de la tabla maestra
de archivos $MFT, realizando procedimientos para buscar archivos sin carpetas raíz. Esta
operación es especialmente útil cuando se ha formateado un dispositivo o la $MFT está
dañada. Los archivos recuperados se colocan en la carpeta denominada de recuperados
(Recovered Folders) en la raíz de la partición NTFS; cuando se tiene una investigación uno los
pasos para encontrar evidencia digital es realizar búsquedas por palabras claves y revisando
los resultados muchas veces se encuentran en estas áreas o carpetas recuperadas.

Igualmente la importancia de dicho archivo para el examinador forense es porque allí se

puede encontrar fragmentos de evidencia, como por ejemplo archivos que en algún momento
estuvieron dentro del disco después de haber sido formateado y que con procedimientos
forenses a través de EnCase se pueden recuperar en el archivo $MFT. Para contextualizar un
poco más al buscar por palabra clave en el registro $MFT se pueden encontrar atributos que
incluyen información que localiza los datos de los archivos que alguna vez estuvieron en dicho
disco y que aportan información para la investigación que esté llevando un investigador.

R-Studio es un conjunto de programas de recuperación de datos potente y rentable. Provisto de

las nuevas tecnologías únicas de recuperación de datos, es la solución más completa para
recuperar archivos de FAT12/16/32, exFAT, NTFS, NTFS5 (creados o actualizados por Windows
2000/XP/2003/Vista/2008/7/8),ReFS (de ingl. Resilient File System, Sistema de archivos
Resistente, un nuevo sistema de archivos local introducido por Microsoft en su Windows 2012
Server), HFS /HFS + (Macintosh), variantes de Little yBig Endian de UFS1/UFS2 (FreeBSD /
OpenBSD / NetBSD / Solaris), Ext2/3/4FS(Linux), y las particiones exFAT. Se puede ejecutar en
discos locales y de red hasta en los casos en los que dichas
Particiones están formateadas, dañadas o eliminadas. La configuración flexible de los parámetros
le proporciona el control absoluto sobre la recuperación de datos.

Forense al registro de Windows

El registro de Windows contiene jerárquicamente valores de configuración almacenados en

archivos con extensión propia. Dentro de los archivos hay un conjunto organizado de hives
(colmenas) que conforman bloques en si mismos del registro. En cada hive existe una lista
keys(llaves), todas estas llaves tienen un nombre/valor y subkeys. Todas estas se encuentran
ubicadas en una de las 5 hives del registro.

El registro contiene información valiosa para el investigador que apoya en el aspecto del análisis
forense. Aquí se almacenan configuraciones y opciones que contiene el Sistema Operativo
Windows tanto como a bajo nivel como también las ejecuciones en la plataforma: Kernel, Drivers,
services, SAM, interfaz de usuario, aplicaciones de tercero, todos estos utilizan el registro de
Windows.

En ejecutar >Regedit o que es lo mismo win + r >Regedit

En el Regitro tenemos las 5 llaves Matriz que son:

HKEY_CLASSES_ROOT (HKCR): Almacena asociación de archivos, e información de Microsoft

Component Object Model (DCOM).

HKEY_CURRENT_USER (HKCU): Almacena información específica del usuario, perfiles de usuarios,

uso de aplicaciones, actividad individual de internet.
HKEY_LOCAL_MACHINE (HKLM): Almacena configuración del hardware y software como también
la configuración de seguridad del sistema.

HKEY_USERS (HKU): Almacena toda la información de configuración de todos los usuarios del
sistema.

HKEY_CURRENT_CONFIG (HKCC): Almacena cualquier información de la configuración del

hardware existente. No es muy utilizado en una investigación.

HKEY_DYN_DATA (HKDD) (Win 9X) Almacena datos dinámicos.

El editor de registro nos muestra la estructura lógica. Físicamente es almacenado en varios

archivos. Windows almacena el registro en archivos binarios separados llamados hives, para cada
hive, Windows crea copia de respaldo de cada respectivo hive que restaura el hive durante una
falla en el boot del sistema

HKLM\SAM -> SAM, SAM.LOG

HKLM\SECURITY -> SECURITY, SECURITY.LOG
HKLM\SOFTWARE -> software, software.LOG, software.sav
HKLM\SYSTEM -> system, system.LOG, system.sav
HKLM\HARDWARE -> (Dynamic/Volatile Hive)
HKU\.DEFAULT -> default, default.LOG, default.sav
HKU\SID -> NTUSER.DAT // HKU\SID_CLASSES -> UsrClass.dat, UsrClass.dat.LOG

Ubicaciones del registro de archivo Windows: (Windows NT/2000/XP/2003 )

* HKEY_CURRENT_USER: Ubicado bajo el directorio del perfil del usuario

(Documents and Settings\Profilename\NTUser.dat en 2000/XP/2003 o
%SYSTEMROOT%\profiles\Profilename\NTUser.dat en NT)
* HKEY_CURRENT_CONFIG: Tomado del archivo HKEY_LOCAL_MACHINE\SYSTEM
*HKEY_CLASSES_ROOT: Tomado de los archivos HKEY_CURRENT_USER y
HKEY_LOCAL_MACHINE\SOFTWARE.
* HKEY_LOCAL_MACHINE\
- HARDWARE: Una llave dinámica construida por Windows al inicio.
- SAM: %SYSTEMROOT%\System32\Config\SAM
- SECURITY: %SYSTEMROOT%\System32\Config\SECURITY
- SOFTWARE: %SYSTEMROOT%\System32\Config\SOFTWARE
- SYSTEM: %SYSTEMROOT%\System32\Config\SYSTEM
- HKEY_USERS: Construida de los archivos de perfil de usuario NTUser.dat.

Los archivos Log de una maquina, sea la que sea, son una fuente de informacion
importantisima en un analisis forense. Los sistemas Windows basados en NT tienen su
principal fuente de Log en los archivos de sistema siguientes:
SysEvent.Evt. Registra los sucesos relativos al sistema
SecEvent.Evt. Registra los sucesos relativos a la seguridad
AppEvent.Evt. Registra los sucesos relativos a aplicaciones

Estos archivos se encuentran en el directorio

%systemroot%\system32\config

Si estan auditadas las opciones de inicio de sesion, cambio de directivas y permisos,

nos centraremos con especial atencion en el archivo Log ecEvent.Evt. Para visualizar
este archivo podremos utilizar la herramienta de Windows eventvwr.msc, comunmente
llamada Visor de Sucesos. Abriremos con esta herramienta el archivo SecEvent.Evt,
que es el encargado de almacenar los sucesos relativos a la seguridad, tales como
ingresos en la maquina, cambio de directivas, etc... Por ejemplo, podriamos buscar
todo acceso fisico a la maquina, cambio de directivas y creacion de cuentas de usuario.
Eso nos podria dar una idea de quien toca el sistema.

Por ejemplo, el evento 624 es el referido por Windows para un suceso de creacion de
cuenta de usuario. En la siguiente imagen podremos ver como lo registra Windows.

Otro ejemplo de suceso, seria el relativo al inicio de sesion. Windows almacena este
suceso con el identificador 528.

Windows tiene distintos archivos Log para auditar los posibles sucesos y/o errores que
puedan surgir en la vida util del sistema operative Algunos de ellos son:
WindowsUpdate.log (Log de Windows Update) memory.dump (Archivos de volcado de
memoria) Archivos de registro de Windows (Software, System, etc..)