Cuando se realizan pruebas forenses sobre equipos Windows hay ciertos ficheros que tienen una especial importancia, vital en algunos casos.Esta aplicación decodifica y analiza algunos archivos especiales usados por Windows . Estos archivos contienen información muy interesante para el examinador forense. Por ejemplo el fichero thumbs.db consiste en una pequeña base de datos en donde se guardan las últimas imagenes que se han visto en Windows por el usuario, es una forma mas de acelerar las futuras consultas de las imágenes. Otro fichero importante puede ser el index.dat que contiene todo el registro por donde el usuario ha navegado.
Windows File Analyzer nos permite analizar los siguientes tipos de ficheros:
•Thumbs.db: permite analizar las imagenes que ha registrado este fichero
•Papelera de reciclaje: nos permite analizar los archivos que hay en la papelera de reciclaje
•Accesos directos: WFA nos permite analizar los accesos directos en busca de fechas de última modificación y fechas de creación
•Index.dat: nos permite analizar la información de la navegación (páginas visitadas, cookies, etc)
•Carpeta Prefetch: el prefetch es el sistema que utiliza Windows para mejorar el rendimiento del SO y lo utiliza sobre las aplicaciones mas empleadas. Con esta información podemos saber cuales son las aplicaciones mas utilizadas y sus ultimas fechas de utilización por el usuario.
Fuente: http://www.mitec.cz/wfa.html
Consultas: Prefetch
Descarga
0 comentarios:
Publicar un comentario