Esas pequeñas utilidades. Análisis forense. STRINGS.

Seguimos con las pequeñas utilidades o herramientas. En este caso hablaremos de STRINGS. Voy a explicar su uso con un ejemplo práctico como puede ser el análisis de los archivos contenidos en la carpeta Prefetch de Windows.

STRINGS de Sysinternals es una utilidad que nos sirve para encontrar cadenas ASCII  o UNICODE en un archivo determinado

Pero, como he dicho, vamos a verlo con un ejemplo….

Haremos un muy sencillo análisis forense de la carpeta Prefetch de Windows XP ó Vista. Pero, antes que nada ¿ qué es la carpeta Prefetch ?.

¿Qué es la carpeta Prefetch?

Explicado de forma muy sencilla. Cada vez que enciende el equipo, Windows realiza un seguimiento de la forma en que se inicia el equipo y los programas que se abren habitualmente. Windows guarda esta información en una serie de pequeños archivos en la carpeta Prefetch. La próxima vez que encienda el equipo, Windows recurrirá a estos archivos para acelerar el proceso de inicio.

La carpeta Prefetch es una subcarpeta de la carpeta del sistema Windows. La carpeta Prefetch no requiere mantenimiento: no es necesario eliminar ni vaciar su contenido. Si vacía la carpeta, Windows y los otros programas tardarán más en abrirse la próxima vez que encienda el equipo.

(http://windows.microsoft.com/es-ES/windows-vista/What-is-the-prefetch-folder)

Dentro de esta carpeta tenemos unos archivos con extensión .pf que son los encargados de almacenar los datos necesario para la tarea encomendada a Prefecth.

Bien, vamos a ver el contenido de uno de estos archivos en un PC cualquiera de nuestra red a administrar. En este caso:

1BY1.EXE-0B97D9FD.pf

A primera vista vemos que se trata de un archivo relativo al programa 1BY1. Parece que un usuario de nuestra red se dedica a escuchar música. Ahora vamos a ver que contiene:

contenido archivo pf de prefetch

 

Vaya. No sé ustedes, pero yo no entiendo nada.

Es aquí donde entra en juego nuestra pequeña utilidad STRINGS.

Tiene varias opciones, pero como en esta serie trato solo de dar referencia a las pequeñas utilidades, usaremos STRINGS de la forma más simple:

> string  C:\WINDOWS\Prefetch\1BY1.EXE-0B97D9FD.pf

He eliminado algunas partes pero el resultado nos da  algunas pistas :

resultado string

Por ejemplo que el usuario del PC estaba “como administrador”, o que había estado escuchando algunos temas de blues con el software 1By1.

Si hacemos lo mismo con  el archivo EXCEL.EXE-256AADE1.pf, obtenemos lo siguiente:

salida strings prefetch

Es decir, tenemos alguno de los últimos archivos .XLS abiertos por el usuario.

———

 

About these ads
Esta entrada fue publicada en Herramientas y etiquetada , , , , , , . Guarda el enlace permanente.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s