Buenas a todos, cuando nos enfrentamos a un proceso forense sobre sistemas Windows, una de las primeras cosas que debemos hacer tras clonar el dispositivo, es averiguar la fecha de instalación del sistema. De ello dependerán muchos aspectos de la pericia, que aunque parezcan una tontería, pueden ser claves para resolver un caso.
En varias periciales nos hemos dado cuenta que, erróneamente, se tomaba como fecha de instalación la mostrada por el software WRR o Autopsy, entre otros muchos, como en el ejemplo que os presento a continuación:
Esto es más o menos correcto, y se basa en la lectura de la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
InstallDate
Sin embargo, cuando Windows 10 hace una "gran actualización", esta fecha se actualiza, por lo que si esto ha ocurrido, no podremos tomar esta clave por buena. Lo podremos comprobar fácilmente chequeando la siguiente rama del registro, donde Windows irá generando "nuevas subramas" por cada gran actualización:
HKEY_LOCAL_MACHINE\SYSTEM\Setup
(Get-CimInstance -Class Win32_OperatingSystem).InstallDate
Y ahora y como os indicaba, consultando la siguiente rama comprobaríamos que realmente se trata de una gran actualización:
Ahora, si consultamos la clave "InstallDate" de esa rama, sí que tendremos la fecha original de instalación, y es la que podremos dar por buena :)
Get-ChildItem -Path HKLM:\System\Setup\Source* | ForEach-Object {Get-ItemProperty -Path Registry::$_} | Select-Object ProductName, ReleaseID, CurrentBuild, @{n="Install Date"; e={([DateTime]'1/1/1970').AddSeconds($_.InstallDate)}} | Sort-Object "Install Date"
Cómo os comentaba al inicio del post, realizar la consulta correcta es una tontería, pero en más de una ocasión nos hemos encontrado que las fechas no cuadraban, y se listaban acciones sobre el equipo "en fechas anteriores a la instalación", lo que obviamente no podría haber ocurrido, a menos que se tratasen de artefactos de antiguas instalaciones o de otras particiones.
Así que tened cuidado con estos detalles, que un error absurdo de estas características puede ocasionar que nos tiren abajo un informe pericial durante un juicio ;)
Saludos!
No hay comentarios:
Publicar un comentario