Windows File Analyzer: una herramienta forense

Cuando se realizan pruebas forenses sobre equipos Windows hay ciertos ficheros que tienen una especial importancia. Por ejemplo el fichero thumbs.db consiste en una pequeña base de datos en donde se guardan las últimas imagenes que se han visto en Windows por el usuario, es una forma mas de acelerar las futuras consultas de las imágenes. Otro fichero importante puede ser el index.dat que contiene todo el registro por donde el usuario ha navegado.

A continuación podemos ver un ejemplo de la herramienta aplicada sobre el fichero index.dat:

Windows File Analyzer nos permite analizar los siguientes tipos de ficheros:

• Thumbs.db: permite analizar las imagenes que ha registrado este fichero
• Papelera de reciclaje: nos permite analizar los ficheros que hay en la papelera de reciclaje
• Accesos directos: WFA nos permite analizar los accesos directos en busca de fechas de última modificación y fechas de creación
• Index.dat: nos permite analizar la información de la navegación (páginas visitadas, cookies, etc)
• Carpeta Prefetch: el prefetch es el sistema que utiliza Windows para mejorar el rendimiento del SO y lo utiliza sobre las aplicaciones mas empleadas. Con esta información podemos saber cuales son las aplicaciones mas utilizadas y sus ultimas fechas de utilización por el usuario.

Como veis Windows File Analyzer es una herramienta muy completa que nos ayudará en nuestras auditorías forenses a sistemas Windows. Esta aplicación funciona bajo las versiones mas populares de Windows como XP y Vista además de funcionar sobre Windows 98 y 2003 Server.

La última versión la podeis descargar de aqui