Forense: Recuperando el historial de actividades de Windows 10

Durante el segundo trimestre del año pasado, Windows 10 incorporó una nueva funcionalidad denominada timeline, a través de la que se comenzaron a registrar las acciones realizadas por el usuario sobre el sistema. Sin entrar en aspectos de privacidad, desde el punto de vista forense es una utilidad muy interesante, ya que junto con otros logs del sistema operativo, nos va a facilitar en gran medida las labores forenses para reconstruir líneas temporales, y tratar de determinar, por ejemplo, el origen de la intrusión en una infección por ransomware.

La información registrada es almacenada en la siguiente base de datos SQLite:
%APPDATA%\ConnectedDevicesPlatform\AAD.xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\ActivitivitiesCache.db
Si la abrimos con una herramienta como SQLite Viewer, podremos ver una estructura de tablas como la siguiente:


Al recorrer las tablas, veremos muchos detalles como las aplicaciones que han sido utilizadas, los documentos que han sido manipulados, videojuegos a los que el usuario ha jugado, etc.

A continuación os muestro un ejemplo de la tabla "Activity" de mi archivo "ActivitivitiesCache.db", en el que figuran las aplicaciones que he utilizado. La parte oculta contiene los nombres de los documentos que he manipulado, y sus rutas a un sharepoint, en formato JSON:


Las fechas son almacenadas en el formato típico Unix, con fecha desde 1970.

Esta base de datos puede ser gestionada desde el Historial de actividad de Windows, donde podremos desactivarla, marcar/desmarcar el envío de este historial a Microsoft (recomendable por temas de privacidad), e incluso borrarlo en cualquier momento:


Saludos!