Análisis forense de artefactos en pagefile.sys

Buenas a todos, en posts anteriores de la cadena "Herramientas forense para ser un buen CSI", hemos hablado largo y tendido sobre la estructura de la memoria RAM. En el post de hoy veremos cómo extraer artefactos del archivo de paginación "pagefile.sys", que permite extender la memoria física mediante memoria virtual.

Este archivo lo encontraremos en la unidad raíz del sistema, por lo general, C:\. Al tratarse de un archivo protegido del sistema, no lo podremos ver directamente, pero podremos desocultarlo desde el propio explorador.



A nivel forense, trabajaremos de forma general con herramientas como FTK o Autopsy para analizar un disco clonado. Mediante cualquiera de ellas podremos localizar fácilmente el archivo y exportarlo para poder analizarlo.


El archivo pagefile.sys no es un fichero secuencial, de manera que su apertura y análisis con cualquier editor se hacen complicados. Existen algunas utilidades y scripts forenses que facilitar la labor de prospección en el fichero, con el fin de buscar información de una manera más o menos automatizada, pero hoy veremos un par de ejemplos manuales para locailzar de forma sencilla 2 tipos de cadenas de texto que nos serán de gran utilidad.

La primera expresión que veremos, basada en strings, nos permitirá localizar URLs que han sido accedidas desde el equipo. Le indicaremos que nos elimine URLs repetidas, y además, que nos devuelva una lista ordenada, para facilitar su lectura. Utilizaremos "egrep" en lugar de "grep" para poder hacer uso del filtro "?" dentro de la expresión regular, el cual nos permitirá obviar repeticiones:


Cómo veis, en apenas unos segundos nos arrojará el listado completo de sitios web visitados:


La segunda expresión, basada en strings también, nos permitirá identificar rutas del sistema operativo que han sido manipuladas:



He ocultado bastantes rutas donde se podían ver archivos que había modificado a lo largo del día :)


¿Sencillo no? Pues esto es todo por hoy, si se os da bien la definición de expresiones regulares, podéis construiros vuestras propias quieries y compartirlas con nuestra comunidad para publicarlas en posteriores artículos.

Saludos!