Unidad 3

1 //Escenario
Escenario25
Lectura fundamental
Fundamental

Artefactos
Etapas de unforenses
plan deen
comunicación
Windows
estratégica

Contenido

1 El registro de Windows

2 Recycle Bin

3 Logs de eventos

4 Prefetch

5 Historial de navegación web

Palabras clave:
Registro, sistema, software, aplicaciones, SAM, logs, eventos.
Introducción
Durante este escenario se estudian diversos elementos del sistema operativo Windows, que podrán
ser utilizados por el analista forense durante un proceso de investigación. Estas fuentes de evidencia
son generadas por el sistema operativo o por las aplicaciones.

El registro de Windows permitirá investigar acciones realizadas en este sistema operativo, como
cambios de hardware y software.

Además de lo anterior, a lo largo de este escenario también se analizarán otros aspectos como: el
funcionamiento de la papelera de reciclaje y su importancia para la recuperación de archivos, y los
diferentes tipos de logs de Windows para el análisis de incidentes de seguridad.

1. El registro de Windows
El registro de Windows juega un papel fundamental en el funcionamiento de los sistemas operativos
de Microsoft. En términos generales, el registro se define como una base de datos jerárquica y simple,
compuesta por archivos de configuración. También se le conoce como el sistema nervioso del sistema
operativo (Sammons, 2014).

El registro de Windows rastrea las actividades, configuraciones y preferencias del sistema y los usuarios.
Desde el punto de vista forense, el registro es una fuente de evidencia esencial a la hora de desarrollar
una investigación, ya que provee información como: programas instalados, sitios web visitados, archivos
consultados, preferencias de red, hardware conectado o desconectado, entre otros datos.

1.1. Estructura del registro

El registro está compuesto por dos elementos clave: llaves y valores. Las llaves (keys) son similares
a una carpeta, pueden ser fácilmente identificables y están compuestas por subllaves (subkeys). Los
valores son pares de nombres y datos almacenados dentro de las claves.

POLITÉCNICO GRANCOLOMBIANO 2
Figura 1. Estructura del registro de Windows
Fuente: Elaboración propia

El registro está organizado mediante un número de elementos del sistema y de usuario, estos
elementos se conocen como hives (colmenas o subárboles). Los hives son indicadores almacenados
en el sistema de archivos, no son legibles a simple vista, pero pueden ser convertidos a un formato
comprensible mediante el uso de diferentes herramientas (parsers).

Windows mantiene cinco hives de registro principales en la carpeta %SystemRoot%\system32\config:

SYSTEM, SECURITY, SOFTWARE, SAM Y DEFAULT, como se muestra en la Figura 2.

Figura 2. Principales hives del registro de Windows

Fuente: Elaboración propia

POLITÉCNICO GRANCOLOMBIANO 3
Los registros de usuarios específicos son almacenados en cada perfil de usuario, dependiendo de la
versión del sistema operativo (Mandia, Pepe, & Luttgens, 2014).

Para el caso de Windows XP y Windows Server 2003:

• \Documents and Settings\<user>\NTUSER.DAT

• \Documents and Settings\<user>\Local Settings\Application Data\Microsoft\Windows\

USRCLASS.DAT

Para el caso de Windows Vista, 7, Server 2008, Server 2012, Server 2016:

• \Users\<user>\NTUSER.DAT

• \Users\<user>\AppData\Local\Microsoft\Windows\USRCLASS.DAT

Figura 3. Archivos de registro del perfil de usuario

Fuente: Elaboración propia

Para examinar el registro, se requiere software especializado. En Windows el registro se puede explorar
con la herramienta Regedit (Registry Editor), la cual se ejecuta haciendo clic en el menú Inicio y
escribiendo la palabra Regedit.

Figura 4. Ejecución de Regedit

Fuente: Elaboración propia

POLITÉCNICO GRANCOLOMBIANO 4
Al abrir la herramienta, es posible observar la estructura del registro. La información está distribuida
en cinco claves raíz (root keys), como se muestra en la Figura 5.

Figura 5. Regedit, herramienta de edición de registro de Windows

Fuente: Elaboración propia

• HKEY_CLASSES_ROOT: es utilizada para almacenar la información sobre los programas o

aplicaciones que manejan cierto tipo de archivos.

• HKEY_CURRENT_USER: contiene las configuraciones específicas para el usuario que tiene

sesión iniciada en el sistema.

• HKEY_USERS: contiene subclaves correspondientes a las claves HKEY_CURRENT_USER de

cada perfil de usuario.

• HKEY_LOCAL_MACHINE: contiene información de la configuración del sistema incluyendo

hardware y software.

• HKEY_CURRENT_CONFIG: contiene la información del perfil del hardware que se encuentra en uso.

1.2. Herramientas de análisis del registro de Windows

Para analizar el registro de Windows, se requiere software especializado. A continuación se presenta

un listado de los software comúnmente utilizados para este propósito.

• FTK Registry Viewer

• FRed: The Forensic Registry Tool

• RegRipper

POLITÉCNICO GRANCOLOMBIANO 5
 • Magnet Axion

• OSForensics

• Windows Registry Decoder

• AutoRuns

• Redline

El uso de estas herramientas debe realizarse únicamente en la estación forense. Recuerde que sobre
la máquina de la víctima no deben ejecutarse este tipo de procesos.

1.3. Análisis del registro

En esta sección se estudiarán algunas llaves de registro que facilitan el proceso de investigación forense.

Nombre del equipo

»» Llave: HKEY_LOCAL_MACHINE\System\Current\ControlSet\Control\Computername\

»» Valor: Computername, ActiveComputername

Figura 6. Visualización del registro nombre de computador

Fuente: Elaboración propia

POLITÉCNICO GRANCOLOMBIANO 6
 Información de la zona horaria

»» Llave: HKEY_LOCAL_MACHINE\System\Current\ControlSet\Control\
TimeZoneInformation\

»» Valor: TimeZoneKeyname

Figura 7. Visualización del registro de zona horaria

Fuente: Elaboración propia

Software instalado

»» Llave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Uninstall\

»» Valor: Múltiples

Figura 8. Visualización del registro software instalado

Fuente: Elaboración propia

POLITÉCNICO GRANCOLOMBIANO 7
 Información de red

»» Llave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
Interfaces\{interfaz}\

»» Valor: DhcpServer, NameServer, IPAddress, DefaultGateway

Figura 9. Visualización del registro con información de red

Fuente: Elaboración propia

URL digitadas

»» Llave: HKEY_USERS\{ID Usuario}\Software\Microsoft\Internet Explorer\TypedURLs

»» Valor: url#

Figura 10. Visualización del registro que almacena las URL digitadas por el usuario

Fuente: Elaboración propia

POLITÉCNICO GRANCOLOMBIANO 8
2. Recycle Bin
Recycle Bin o la papelera de reciclaje es un almacenamiento temporal para archivos que han sido
borrados por el usuario a través del explorador de Windows. Esta funcionalidad permite a las personas
cambiar de parecer antes de que determinen eliminar el archivo de forma “definitiva” del disco
duro (Luttgens, Pepe, & Mandia, 2014). Sin embargo, los usuarios pueden borrar archivos desde el
explorador de Windows, sin que estos pasen por la papelera de reciclaje, presionando las teclas SHIFT
+ Supr. Debido a que la papelera de reciclaje es simplemente un conjunto de carpetas con unos
permisos específicos, se vuelve relativamente fácil recuperar y reconstruir el contenido.

El nombre de la papelera de reciclaje varía en las versiones de Windows. Windows 95 y 98 usan

C:\$Recycler como papelera de reciclaje, Windows XP utiliza C:\$Recycled, y desde Windows Vista
se utiliza C:\$Recycle.Bin (Polstra, 2016).

Cada usuario que ingresa al sistema de archivos tiene una subcarpeta en Recycle Bin, compuesta por
el identificador de seguridad (SID). Los archivos que el usuario envía a Recycle Bin son almacenados
en esta carpeta (Arnes, 2017). El sistema operativo crea dos archivos cada vez que una información
es ubicada en Recycle Bin.

• \$Recycle.Bin\{SID}\$I{ID_STRING}.{Extensión del archivo}

• \$Recycle.Bin\{SID}\$R{ID_STRING}.{Extensión del archivo}

$R hace referencia a una copia renombrada del archivo “borrado”, $I es la fuente de metadatos y
contiene el nombre original, la ruta y la fecha y hora de borrado.

Durante un incidente de seguridad, un analista forense debe examinar las rutas asociadas a la papelera
de reciclaje, ya que un atacante puede alojar malware, herramientas o utilidades persistentes.

3. Logs de eventos
Los logs de eventos son generados por el sistema operativo como mecanismo de auditoría y
monitoreo. Estos artefactos permiten desarrollar las siguientes tareas:

• Identificar modificaciones en el sistema operativo.

• Identificar autenticaciones exitosas y fallidas.

• Identificar la creación, inicio y pausa de servicios del sistema.

POLITÉCNICO GRANCOLOMBIANO 9
 • Identificar alteraciones de políticas de auditoría.

• Identificar cambios en permisos de usuario (auditoría de objetos).

• Monitorear eventos generados por aplicaciones como bases de datos, servidores web y
herramientas de seguridad, entre otras.

Todas las versiones de Microsoft Windows mantienen tres logs de eventos principales: aplicación,
sistema y seguridad. Windows almacena los logs de eventos en un conjunto de archivos XML
comprimidos en la ruta \Windows\System32\Winevt\Logs.

• Aplicación: %SYSTEMROOT%\System32\Winevt\Logs\Application.evtx

• Sistema: %SYSTEMROOT%\System32\Winevt\Logs\System.evtx

• Seguridad: %SYSTEMROOT%\System32\Winevt\Logs\Security.evtx

¿Sabía qué...?
En versiones antiguas de Windows, Windows XP, Windows 2003 y
versiones previas, los logs de eventos se almacenaban en otra ruta
(\Windows\System32\Config\) y formato (Evt). Desde Windows Vista
el formato pasó a utilizar una compresión en XML y ahora son archivos
formato Evtx.

POLITÉCNICO GRANCOLOMBIANO 10
Microsoft agregó una segunda categoría que registra eventos de aplicaciones y servicios (Applications
and Services Logs). La herramienta EventViewer (nativa de Microsoft) permite visualizar, analizar y
exportar los logs de eventos.

Figura 11. El visor de eventos de Windows

Fuente: Elaboración propia

Cada tipo de evento registrado en Windows tiene un identificador asociado, Event ID, el cual será el
código utilizado por el analista forense para filtrar eventos específicos.

A continuación, se presenta un listado de los recursos oficiales de Microsoft relacionados con los
Event ID de cada sistema operativo.

Tabla 1. Recursos de Microsoft con información sobre los identificadores de eventos

Sistema operativo Enlace

Windows Server 2003 http://technet.microsoft.com/en-us/library/cc163121.aspx
Windows 7 y Server
https://www.microsoft.com/en-us/download/details.aspx?id=21561
2008 R2
Windows 8 y
https://www.microsoft.com/en-gb/download/details.aspx?id=35753
Server 2012
General https://www.microsoft.com/en-us/download/details.aspx?id=50034

Fuente: Elaboración propia

POLITÉCNICO GRANCOLOMBIANO 11
Los logs de eventos tienen una duración limitada, la cual puede ser establecida desde el visor de
eventos (EventViewer). Generalmente viene configurada para que los eventos sean sobrescritos cada
50 MB o menos.

Figura 12. Propiedades del log de seguridad

Fuente: Elaboración propia

4. Prefetch
Los archivos prefetch fueron introducidos desde Windows XP, con el fin de acelerar la carga de
aplicaciones comunes y componentes de Windows. Los archivos prefetch (.pf) se alojan en la carpeta
C:\Windows\Prefetch\ y contienen (Arnes, 2017):

• Última fecha de ejecución.

• Número de ejecuciones.

• Ruta del ejecutable original.

• Lista de DLL (librerías dinámicas) que requiere el ejecutable.

POLITÉCNICO GRANCOLOMBIANO 12
El análisis de los archivos prefetch permitirá al investigador forense asegurar que los ejecutables o
binarios comunes de Windows sean ejecutados desde los directorios correspondientes, lo cual brinda
la posibilidad de identificar la ejecución de archivos maliciosos.

5. Historial de navegación web

El historial de navegación contiene todas las URL que el usuario ha visitado. Los navegadores
almacenan esta información para conveniencia del usuario. Estos datos son de gran utilidad para
determinar si un usuario ingresó o no a cierto tipo de información.
El historial de navegación incluye los siguientes datos:

• Fecha de la primera visita al sitio web.

• Fecha de la última visita al sitio web.

• Número de visitas al sitio web.

La mayoría de navegadores almacenan el historial de búsqueda en una base de datos SQlite. Algunas
de las rutas más comunes en Windows son:

Internet Explorer

• C:\Users\IEUser\AppData\Local\Microsoft\Internet Explorer

Google Chrome

• C:\Users\{UsuarioX}\AppData\Local\Google\Chrome\User Data\Default/

Firefox

• C:\Users\{UsuarioX}\AppData\Roaming\Mozilla\Firefox\Profiles\

La información generada por los navegadores web será de gran ayuda para investigar crímenes
referentes a robo de propiedad intelectual, acosos en línea, pornografía infantil e incidentes
relacionados con software malicioso.

POLITÉCNICO GRANCOLOMBIANO 13
Referencias bibliográficas
Arnes, A. (2017). Digital Forensics. John Wiley & Sons.

Luttgens, J., Pepe, M., & Mandia, K. (2014). Incident Response & Computer Forensics, Third Edition.
McGraw Hill Professional.

Mandia, K., Pepe, M., & Luttgens, J. (2014). Incident Response & Computer Forensics, Third Edition.
McGraw-Hill Education.

Polstra, P. (2016). Windows Forensics. Createspace Independent Publishing Platform.

Sammons, J. (2014). The Basics of Digital Forensics: The Primer for Getting Started in Digital
Forensics. Syngress.

POLITÉCNICO GRANCOLOMBIANO 14
 INFORMACIÓN TÉCNICA

Módulo: Informática Forense

Unidad 3: Artefactos forenses en Windows
Escenario 5: Artefactos forenses en Windows
Autor: Daniel Rodríguez

Asesor pedagógico: Óscar Mauricio Salazar

Diseñador gráfico: Kelly Valencia
Asistente: Alejandra Morales

Este material pertenece al Politécnico Grancolombiano. Por ende,

es de uso exclusivo de las Instituciones adscritas a la Red Ilumno.
Prohibida su reproducción total o parcial.
POLITÉCNICO GRANCOLOMBIANO

POLITÉCNICO GRANCOLOMBIANO 15