Análisis de artefactos
¿Qué es Análisis de artefactos?
Análisis de artefactosExamen de las trazas digitales que dejan los sistemas operativos y las aplicaciones para reconstruir las acciones del usuario, la ejecución de programas y el comportamiento del atacante.
El análisis de artefactos se centra en los restos persistentes y volátiles que generan los sistemas operativos y las aplicaciones durante su uso: prefetch, ShimCache, AmCache, jump lists, archivos LNK, historial del navegador, papelera, registros de eventos de Windows, journald y muchos otros. Cada artefacto responde a una pregunta probatoria concreta, como si un binario se ejecutó o qué archivos abrió un usuario. Los analistas recolectan artefactos con KAPE, Velociraptor o FTK Imager y los parsean con EZ Tools, Plaso o Autopsy. La interpretación depende de la versión del sistema operativo, ya que formatos y retención varían entre Windows, macOS y Linux.
● Ejemplos
- 01
Analizar el Prefetch de Windows para demostrar que una muestra de malware renombrada se ejecutó dos veces en una estación.
- 02
Revisar ShellBags para confirmar que un atacante navegó por un recurso compartido sensible.
● Preguntas frecuentes
¿Qué es Análisis de artefactos?
Examen de las trazas digitales que dejan los sistemas operativos y las aplicaciones para reconstruir las acciones del usuario, la ejecución de programas y el comportamiento del atacante. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Análisis de artefactos?
Examen de las trazas digitales que dejan los sistemas operativos y las aplicaciones para reconstruir las acciones del usuario, la ejecución de programas y el comportamiento del atacante.
¿Cómo defenderse de Análisis de artefactos?
Las defensas contra Análisis de artefactos combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Análisis de artefactos?
Nombres alternativos comunes: Análisis de artefactos forenses, Análisis de artefactos de host.