Artefactos

Archivos LNK
Descripción
Los archivos LNK son utilizados en sistemas Windows para linkear un archivo con otro. Así es como funcionan tradicionalmente los "shortcuts".
Podemos obtener metadatos relevantes de estos archivos LNK como por ejemplo la localización de la carpeta a la que está linkeado el archivo, la fecha en la que fue creado, el último acceso, el tamaño del fichero, y un largo etc.
Localización
Los archivos LNK se encuentran en:
C:\Users\$USER$\AppData\Roaming\Microsoft\Windows\Recent
Análisis
Para poder leer los archivos LNK correctamente podemos usar la herramienta Windows File analyzer​
Archivos Prefetch
Descripción
Los archivos prefetch nos proveen de muchísima información sobre programas incluyendo nombres de aplicación, paths a ejecutables, última ejecución y la fecha de creación/instalación
Localización
Los archivos prefetch se encuentran en:
C:\Windows\Prefetch
Análisis
Para poder leer estos archivos, podemos usar la herramienta Prefetch Explorer Command Line a.k.a PECmd.exe
Jump List
Descripción
Usando la Jump List somos capaces de encontrar dos tipos de archivos diferentes:
automaticDestination-ms
customDestination-ms
Estos archivos contienen información sobre aplicaciones que están ancladas a la barra de tareas, como rutas de archivos, timestamps e identificadores de aplicación (AppIDs)
Localización
La JumpList puede encontrarse en:
C:\Users\% USERNAME%\AppData\ Roaming\Microsoft\Windows\Recent\AutomaticDestinations
​
C:\Users\%USERNAME%\AppData\ Roaming\Microsoft\Windows\Recent\CustomDestinations
Análisis
Para poder analizar estos archivos contamos con la herramienta JumpList Explorer.
Archivos Relevantes de la Ram
OS
FILE
PATH
DESCRIPTION
COMMAND
Windows
pagefile.sys
C:\pagefile.sys
Usado por el sistema cuando no queda más RAM
-
Windows
hyberfil.sys
%SYSTEM%\hyberfil.sys
Usado para el sistema para hibernar
​
Linux
swapfile
/swapfile
Usado por el sistema cuando no queda más RAM
sudo fallocate -l [file size] /swapfile 
free -h
swapon -show |
Buscar Software Instalado en Linux
/var/lib
/var/log
/var/lib/dpkg/status (Debian)
Archivos del usuario en Linux
.bash_history
# Con el archivo ".bash_history"
# con el comando "history"
Archivos y directorios ocultos
ls -a
Archivos y directorios de limpieza
# A user’s desktop
# A user’s default directories, including; Downloads, Music, Pictures, Public, Templates, Videos
# The Trash Bin
​
Archivos relevantes del browser
Cookies
Favorites
Downloaded Files
URLs Visited
Searches
Cached Webpage
Cached Images
Crackear /etc/passwd & /etc/shadow
unshadow /etc/passwd /etc/shadow
john $FILE_TO_CRACK --wordlist=$WORDLIST

OS	FILE	PATH	DESCRIPTION	COMMAND
Windows	pagefile.sys	C:\pagefile.sys	Usado por el sistema cuando no queda más RAM	-
Windows	hyberfil.sys	%SYSTEM%\hyberfil.sys	Usado para el sistema para hibernar
Linux	swapfile	/swapfile	Usado por el sistema cuando no queda más RAM	sudo fallocate -l [file size] /swapfile free -h swapon -show \|

Última actualización 1yr ago