Fundamentos Forenses de la Cola de Impresión en Windows

En algunas investigaciones, las actividades de impresión correspondientes a un sospechoso pueden ser relevantes. Como se podría esperar, la impresión también puede dejar algunos rastros para el profesional forense. Probablemente se ha percibido un ligero retraso después de mandar la impresión. Este retraso es un indicador de un proceso denominado “spooling” o mandar hacia un cola de impresión, este proceso almacena el trabajo hasta pueda ser imprimido en el momento más conveniente para la impresora. Durante este procedimiento, Windows crea un par de archivos complementarios. Uno es el EMF (Enhanced Meta File), el cual es una imagen del documento a ser imprimido. El otro es un archivo de cola, el cual contiene la información sobre el trabajo de impresión por si mismo.

Existe uno de cada archivo para cada trabajo de impresión. ¿Cual tipo de información se puede recuperar del archivo spool?. El archivo spool (.spl), indica cosas como el nombre de la impresora, nombre de la computadora, como también la cuenta de usuario quien envió el trabajo hacia la impresora. Ambos archivos pueden tener valor como evidencia. El problema es su permanencia, pues es por un corto lapso de tiempo. De hecho, son borrados normalmente después del trabajo de impresión ha finalizado. Sin embargo existen algunas excepciones.

La primera excepción se suscita con algún tipo de problema, y el documento no se imprime. El segundo es cuando una computadora iniciando el trabajo de impresión puede ser configurada para mantener una copia. Algunas compañías encuentra esta configuración atractiva, si tiene alguna razón para mantener una copia.

Los archivos spool y EMF pueden ser utilizados para directamente conectar objetivos con sus crímenes. Copias de cartas para extorsión, contratos falsos, listas de clientes robados, entre otros, son algunas piezas de evidencia potencialmente extraída desde estas computadoras.

Fuentes:

https://social.technet.microsoft.com/Forums/windowsserver/en-US/b560cd2b...
https://www.sonntag.cc/teaching/Security_and_WWW_SS12/2_Incident_respons...
https://en.wikipedia.org/wiki/Windows_Metafile
https://linuxsleuthing.blogspot.com/2011/11/libreoffice-unlikely-image-v...

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1