Laboratorio: Informática Forense - Análisis de actividad del usuario sospechoso, NTUSER.DAT, pagefile.sys
El siguiente video tutorial muestra entonces una exploración básica por la información contenida en los directorios del usuario sospechoso de la intrusión (ver0k), además muestra un primer acercamiento al fichero NTUSER.DAT, fichero que almacena las claves del registro correspondientes a ese usuario.
En dicho archivo podemos encontrarnos con el registro de envío de un e-mail ([email protected]), esto lo confirmamos luego de analizar en detalle la información contenida en el fichero pagefile.sys, el archivo Pagefile.sys es un archivo utilizado por Windows para almacenar temporalmente aquella información que se intercambia entre el sistema y la memoria física de la computadora, conocida como Memoria RAM.
Así se amplia la capacidad de memoria de la computadora a través de una memoria virtual, la que no dispone de un componente tangible, sino que es creada por Windows para mejorar el funcionamiento del equipo. (más información sobre el archivo pagefile.sys)
Aún no veremos en detalle el análisis a estos archivos, pues en futuras entregas veremos algunas herramientas que nos permitirán analizar de mejor manera esta información.
Descargar video tutorial de análisis de actividad del usuario sospechoso (Password: www.dragonjar.org)