• Extracción de artefactos forenses de Anydesk.  Según describe el amigo @inginformatico en este post, la aplicación Anydesk deja distintos tipos de artifact. Si el programa se ejecuta en modo «portable» o sin instalar, se generan artefactos forenses en los directorios de cada usuario, en la ruta «%appdata%\Roaming\Anydesk\» el fichero «ad.trace» donde quedan las conexiones realizadas.  Si Anydesk, está instalado, entonces en la ubicación queda en «%PROGRAMDATA\AnyDesk\» el fichero «ad_svc.trace». En caso que sea de usuario, Wintriage lo deja dentro del directorio extraído «Evidencias\usuarios\<usuario>\». Los logs de AnyDesk sacados como artifact de sistema, decidí dejarlos dentro del directorio «Evidencias\Eventos\Anydesk», siendo el sitio más coherente para ello, en mi opinión.

• Otro sistema para conectarse remotamente a una máquina es el conocido Teamviewer. En este caso, los artefactos de conexiones recibidas son a nivel sistema. Los ficheros con información valiosa son Connections_incoming y los que terminan en _LogFile.log del directorio de logs de Teamviewer. Al igual que con Anydesk, la ruta donde quedan en la extracción de Wintriage es en «Evidencias\Eventos\Teamviewer». Por este motivo, estos dos artefactos, cuando Anydesk es de sistema se extrae cuando se selecciona el check de «Eventos» (o todo, directamente).

• Si un usuario sincroniza un directorio con el servicio de la nube BOX, se generará un fichero llamado sync.db en «%user%\AppData\Local\Box\Box\data\» que contiene timestamps de sincronización de ficheros. Útil a la hora de poder identificar cómo y cuándo llegó un fichero al sistema de ficheros (y poderlo corroborar así con otros artefactos forenses, como por ejemplo los del sistema de ficheros). Tenéis info sobre lo que deja BOX en el fichero sync.db en https://www.forensafe.com/blogs/boxsync.html

• ¿Sabíais que Google Chrome al actualizar algunas versiones elimina información relativa a la navegación y Cookies de un usuario? Yo tampoco. Sin embargo, nos tocó hace unas semanas un peritaje a un ordenador en el que teníamos que extraer la navegación de un usuario y hacer determinadas búsquedas en él, que debían estar localizadas en un rango de tiempo concreto. Sin embargo, no había navegación en el fichero History en ese tiempo. Curiosamente, en el directorio del usuario existía un subdirectorio llamado Snapshots, y dentro de este un directorio llamado «Default» (que entendemos que será uno por cada perfil que tenga el usuario), y dentro de este, directorios correspondientes a versiones de Google Chrome. Extrayendo los ficheros History, dimos con la navegación requerida en el intervalo de tiempo. He añadido a Wintriage que si hay Snapshots de Google Chrome en un usuario, saque por cada perfil los ficheros History y Cookies. Esto queda en «Evidencias\usuarios\Navegadores\Chrome\Snapshots». Nunca se sabe cuándo puede hacer falta ;D

Bug resuelto

•  Al implementar la funcionalidad del fichero de opciones «auto.txt», me di cuenta que si se ejecutaba en modo CLI, no estaba extrayendo artefactos de usuario. Ya está solucionado en esta versión (cosas de una variable incorrectamente inicializada si se alineaban los planetas en una opción en concreto).