El descubrir la última vez en la cual se apagó un Sistema Windows puede ser importante para una investigación forense, pues proporciona información sobre el último momento de uso de la máquina en investigación. Esto podría indicar que el sistema no está relacionado a un incidente, o que el sistema estuvo en uso durante un periodo de tiempo determinado.

Para la siguiente práctica se utilizará la imagen forense obtenida de un disco duro de un Sistema Windows XP.

En la mayoría de investigaciones forenses será necesario encontrar la versión exacta del Sistema Windows sujeto a investigación. Esto a razón de que muchas características y remanentes forenses son específicas de ciertas versiones de Windows, y por lo tanto solo pueden ser adecuadamente visualizadas conociendo la versión del Sistema Operativo. En caso no se conozca esta información se pueden llegar a conclusiones erróneas.

RegRipper es una herramienta open source escrita en Perl para extraer e interpretar información (llaves, valores y datos) desde el registro de Windows y presentarlos para su análisis.

Un acceso directo permite al usuario encontrar un archivo o recurso localizado en un directorio o carpeta diferente del lugar donde el acceso directo está localizado. Un archivo de Acceso Directo o de enlace contiene la ruta del archivo y el tipo de almacenamiento sobre el cual existe, como un disco curo, unidad de red, DVD, etc. También contiene los tiempos MAC del archivo como también los tiempos MAC propios que muestran la fecha de creación del archivo.

La RAM (Random-Access Memory) o Memoria de Acceso Aleatorio es un recurso limitado, mientras que para propósitos prácticos, la memoria virtual es ilimitada. Pueden existir varios procesos, y cada proceso tener su propio espacio de 2GB en memoria virtual. Cuando la memoria que está siendo utilizada por todos los procesos existentes excede la RAM disponible, el sistema operativo mueve páginas (piezas de 4-KB) de uno o más espacios de direcciones virtuales al disco duro de la computadora. Esto libera la estructura de la RAM para otros usuarios.

Cuando un usuario borra un archivo en el explorador de Windows o “My Computer”, el archivo aparece en la Papelera de Reciclaje. Este archivo permanece allí hasta vaciar la Papelera de Reciclaje o restaurar el archivo.

Los archivos antiguos también son eliminados de la Papelera de Reciclaje cuando se borran archivos más nuevos, y la Papelera de Reciclaje excede el tamaño máximo asignado en las propiedades de esta.

Para la siguiente práctica se utilizará la imagen forense obtenida desde un disco duro en un Sistema Windows XP.

The Sleuth Kit o TSK es una librería y una colección de herramientas en línea de comandos, las cuales permiten investigar imágenes de discos. La funcionalidad vital de TSK permite analizar volúmenes y datos desde sistemas de archivos.

Para la siguiente práctica se utilizará SIFT y una unidad USB (Memory Stick) con un sistema de archivos NTFS, desde el cual se extraerá o recuperará un archivo borrado.

Una de las tareas más comunes a realizar durante una investigación forense implica encontrar y recuperar archivos que han sido borrados o eliminados del sistema. Realizar el proceso de recuperación de archivos con herramientas automáticas no es una tarea complicada, dependiendo de factores como el momento de borrado del archivo, y el lapso de tiempo transcurrido hasta el inicio de la recuperación.

NTFS, el cual es un acrónimo para "New Technology File System" o Sistema de Archivos de Nueva Tecnología, es uno de los más recientes sistemas de archivos soportados por sistemas Windows. Es un sistema de archivos de alto desempeño que se repara a si mismo. Soporta diversas características avanzadas como seguridad a nivel de archivos, compresión, y auditoría.

FTK Imager es una herramienta para previsualizar y replicar, la cual permite evaluar de manera rápida evidencia digital. FTK Imager puede también crear copias perfectas (imágenes forenses) de datos de computadoras sin hacer cambios en la evidencia original.

Para la siguiente práctica se utiliza FTK Imager para capturar la imagen forense de una unidad USB (Memory Stick) conectada en un Sistema Windows. La imagen forense se creará y almacenará en un recurso compartido de un sistema remoto.