07 Ene Wintriage: Publicada la versión 28112025 / Released version 28112025

Tras un año y medio sin publicar nuevas versiones de Wintriage, no hemos querido dejar pasar 2025 sin implementar un montón de cambios que teníamos pendientes en Wintriage, la herramienta que creemos más completa para la extracción de artefactos forenses de sistemas Windows, tanto en máquina viva como a partir de una imagen.

A continuación explicamos qué hemos implementado en esta nueva versión, separando lo que son bugfixes de lo que son nuevos artefactos forenses a extraer o simplemente lo que consideramos mejoras.

De esta versión queremos destacar lo que sin duda es más llamativo, que es la velocidad de extracción de muchos artefactos forenses. En concreto, podrás ver que la extracción de evidencias que no son ni memoria, ni ejecución de comandos, ni ADS se hace a una velocidad muchísimo mayor que en las anteriores. Y esto es porque, por solucionar algo que describiré más abajo que era un bug, se me ocurrió una forma mucho más rápida en la copia unitaria de ficheros.

Bugfixes:

 

• En ciertas versiones de Windows 11, cuando se seleccionaba la opción «ejecución de comandos», al llegar a ejecutar aquellos binarios de Sysinternals, aparecían unos pop-ups indicando que el programa no era válido. La solución es la descarga de la última versión de las Sysinternals Suite desde aquí -> – https://download.sysinternals.com/files/SysinternalsSuite.zip, descomprimiéndolo y dejando los ficheros dentro del directorio SysinternalsSuite. Sin embargo, si se sustituye entero dicho directorio, si hay que ejecutar Wintriage en un entorno de 32-bits, estos binarios no funcionarán. Por tanto, tocará tener binarios «antiguos» de 32 bits (descargables desde aquí -> https://web.archive.org/web/20220930093914/https://download.sysinternals.com/files/SysinternalsSuite.zip) y los de 64 bits, los últimos que hay. Se ha actualizado el fichero «LEEME_PRIMERO_ANDA.txt» indicándolo.

 

• Extracción de eventos de Windows. Gracias a que David Paramio nos reportó que la extracción de ficheros de eventos EVTX, en últimas versiones de Windows 10 y 11, se extraían correctamente, pero a la hora de analizarlos resultaba que estos estaban vacíos o corruptos. Analizando el problema en últimas versiones, identificamos que el fallo radicaba en que el programa Forecopy (un helper que utilizaban hasta ahora todas las versiones de Wintriage) que está fuera de actualizaciones. Debe tener alguna incompatibilidad con los nuevos eventos de Windows. Así, hemos decidido prescindir de dicho programa y hemos implementado la copia de forma nativa. Así, hemos eliminado dicha dependencia y por tanto ya no aparece tampoco en el fichero LEEME_PRIMERO_ANDA.txt.

 

• Dado que en Windows 11 no existe el binario wmic, su ejecución directamente daba error, así que ahora se verifica primero si existe el binario. En caso contrario, este no se ejecuta.

 

• En algunos casos, me había sucedido que el fichero UsrClass.dat del usuario desde el que se estaba ejecutando Wintriage, no se extraía. Haciendo pruebas con Rawcopy, que es la herramienta utilizada para extraer ficheros en uso,  funcionaba con cualquier fichero abierto excepto con UsrClass.dat. Sin embargo, los ficheros UsrClass.dat de dicho usuario existentes en las shadow copies sí que se las llevaba. Así que se me ocurrió que si hacía una Shadow Copy y lo extraía de ahí en el momento, podría llevármelo. Dicho y hecho, implementé un mecanismo para que antes de sacar dicho fichero se generase una shadow copy, se copiase y se eliminase la shadow copy. Todo perfecto. En este punto dije: con esto evito el uso de Rawcopy y hago llamadas a la API de Windows directamente para copiarme el fichero, por lo que, si aprovecho a crear la shadow copy antes de extraer el grueso de los ficheros, puedo evitar utilizar Rawcopy (que ciertamente tarda más) y los copio con llamadas a la API. Hice la prueba y el cambio en rendimiento es BESTIAL!  Una prueba sencilla que tardaba 1 minuto y medio, ahora tarda 4 segundos.

 

• Hasta las versiones anteriores, si se quería seleccionar solo algunos usuarios de los que extraer sus artefactos forenses, se podía hacer. Sin embargo, si había muchos usuarios (algo muy típico en servidores de terminales o VDI) en los que había más usuarios que el espacio disponible, estos quedaban fuera del espacio disponible y los botones no se veían. En esta versión incorporamos los usuarios dentro de un espacio que permite hacer scroll. Esta idea  me la dio George Onofrei, que le tocó en un incidente y tuvo ese inconveniente. A partir de ahora esto ya no pasa :D

• Hasta ahora, cuando una función llamaba a Rawcopy para copiar uno o múltiples ficheros, mostraba toda la salida de Rawcopy. La verdad es que la cantidad de log que se generaba era bastante grande y no aportaba gran cosa saber qué técnica ha utilizado Rawcopy para hacer la copia, por lo que hemos decidido hacer menos detallada la salida de dicho comando dentro de WinTriage.

 

Nuevos artefactos forenses:

 

• Hasta ahora Wintriage extraía el fichero de ejecución de comandos en Powershell de cada usuario. Sin embargo, nos encontramos en un incidente que el atacante ejecutó comandos Powershell tras escalar a System. Esto quedó en la ruta C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txtSi existe, ahora Wintriage lo copiará al directorio Evidencias\Users\SYSTEM.

 

• En Windows 2003 y XP (nos sigue tocando hacer extracciones de estos sistemas operativos sobre todo en sistemas industriales) hemos implementado que si hay ficheros HIVE del registro en C:\Windows\Repair, los extrae igualmente.

 

• Se ha implementado la extracción del fichero config.xml correspondiente a los ficheros recientemente abiertos por un usuario con el programa Notepad++

 

• El gran Antonio Sanz me indicó que había una herramienta comercial que buscaba y extraía ficheros de tipo .vbs, .ps1 y .wsh. Cierto es que en algunos casos en los que se esté buscando la potencial descarga/confección y ejecución de este tipo de ficheros, esta búsqueda puede ser útil. Dado que este proceso tarda bastante tiempo, aparece deshabilitado por defecto. Se ha implementado en dos fases:
  • Búsqueda de los tres tipos de ficheros, generando un listado únicamente en un fichero .txt
  • La creación de un fichero .7z con todos los ficheros encontrados.

• Se añade DuckDuckGo como otro navegador más al que extraer sus artefactos de historial, cookies y caché, en caso de existir perfiles en directorios de usuarios.

 

• Hace tiempo que Microsoft Teams es parte de Windows. Hemos tenido más de un caso en los que hemos identificado una exfiltración de ficheros corporativos a través de Teams, e incluso que los propios chats son objeto de controversia en un procedimiento judicial. Así que para ello hemos implementado la extracción de los artefactos forenses de Teams que guardan los chats y los ficheros enviados en estos, según se indica en este post https://medium.com/@iramjack8/microsoft-forensics-ii-3292ff693161.

 

• Pero ojo, que no es el único artefacto forense interesante en Teams. ¿Y si haces click a un enlace? Microsoft Teams implementa un navegador basado en Chromium que genera sus propios artefactos forenses de Historial, Cookies y Cache. Si está en el perfil de un usuario, también lo extraemos.

 

• Ahora incluimos en la sección ejecución de comandos «powercfg /batteryreport». No tengo muy claro en qué casos puede ser de utilidad o aplicación forense, pero como siempre he dicho, mejor tener que no tener… No pide mucho pan dicha ejecución, la verdad y lo añadimos a la ejecución de «powercfg /sleep» que ya hacíamos antes.

 

• Sin embargo, Teams no es el único elemento de Microsoft que genera un perfil de Chromium, sino que Microsoft Outlook también lo hace. Según me contó David Paramio en su día, cuando se abre un fichero desde un correo en Outlook, puede quedar Caché en AppData\Local\Microsoft\Olk\EBWebView\Default\Cache\Cache_Data\. Investigando en mayor  profundidad, vi que hay un perfil Chromium entero en dicha ruta, que por supuesto, si existe, también extraemos en la carpeta de Navegadores.

 

• En este tweet se habla de un fichero con formato SQLite correspondiente a actividad relacionada con Onedrive, así que, si un perfil de usuario lo tiene en la ruta (\AppData\Local\Microsoft\OneDrive\settings\Personal\UXDatabase.db), lo extraemos.

 

• En la sección de Eventos, Wintriage ahora extrae ficheros relacionados con la detección y funcionamiento de Windows Defender y deMicrosoft Removal Tool. Al principio pensé que no tendría mucha utilidad, pero en los últimos incidentes de ransomware nos ha venido muy bien dichos ficheros.

 

• Aparte de los ficheros Thumbcache que ya extraía Wintriage anteriormente, ahora además también extrae todos los ficheros Iconcache. Tienen una utilidad relativa desde el punto de vista forense, pero mejor tener que no tener :D

 

• A partir de esta versión Wintriage extrae el fichero OBJECTS.DATA (existente en las carpetas C:\WINDOWS\system32\wbem\Repository\ o C:\WINDOWS\system32\wbem\Repository\FS)  que contiene logs de telemetría de SCCM, que se puede parsear con los scripts de este repositorio de David Pany https://github.com/davidpany/WMI_Forensics

 

Misc:

 

• Hasta ahora, si seleccionabas la extracción de Shadow Copies, si estas existían, por cada una extraía todos los artefactos de sistema y usuario que hubiera en el momento de cada shadow copy, independientemente de los artefactos que se hubieran seleccionado anteriormente. A partir de esta versión, si se habilita el check de Shadow Copies, se extraerá por cada shadow copy, los mismos artefactos forenses que se hayan seleccionado de forma global.

 

• He añadido en agradecimientos a mi compañero y amigo Javier Horcajada que ha contribuido con la labor de QA.

 

• Se ha comprobado completa compatibilidad con Windows Server 2025 en su versión normal y Core.

 

Como siempre, la descarga la puedes hacer desde https://cursos.securizame.com/extra/wintriage.7z. Dentro tienes el fichero LEEME_PRIMERO_ANDA.txt con las dependencias que necesitas seguir resolviendo para poder disponer de todos los ficheros auxiliares necesarios que orquesta Wintriage.

Recuerda que si haces nuestros cursos online++ y/o del plan de formación en DFIR y Análisis Forense, tendrás acceso a la versión con todas las dependencias resueltas de Wintriage y de Lintriage

Espero que disfrutes Wintriage y que, si tienes cualquier problema, fallo y/o artefacto nuevo que extraer, nos lo digas en https://www.securizame.com/contacto. Wintriage lo hacemos en Securízame pero lo podemos usar todos aquellos que nos dediquemos al DFIR y queramos disponer de la herramienta más completa y versátil posible de triage en Windows.

Descarga gratuitamente Wintriage desde https://cursos.securizame.com/extra/wintriage.7z 

El hash SHA-256 de esta versión es bcc045c9e42464b209b3bdf681084d58c5fcd07554db87d9afac7ceaa3a4c2e2

 

---

After a year and a half without releasing new versions of Wintriage, we did not want to let 2025 go by without implementing a large number of pending changes in Wintriage, the tool we consider to be the most complete one for extracting forensic artifacts from Windows systems, both from live machines and from disk images.

Below we explain what has been implemented in this new version, separating bug fixes from newly supported forensic artifacts and what we simply consider improvements.

From this release, we want to highlight what is undoubtedly the most striking change: the extraction speed of many forensic artifacts. In particular, you will notice that the extraction of evidence that is not related to memory, command execution, or ADS is now performed at a much higher speed than in previous versions. This improvement comes from fixing a bug described later on, which led to the implementation of a much faster method for individual file copying.

Bugfixes:

 

• On certain versions of Windows 11, when selecting the “command execution” option, pop-up messages appeared when executing Sysinternals binaries, indicating that the program was not valid. The solution is to download the latest version of the Sysinternals Suite from the following link: https://download.sysinternals.com/files/SysinternalsSuite.zip After downloading, extract the files and place them inside the SysinternalsSuite directory. However, if this directory is fully replaced and Wintriage needs to be executed in a 32-bit environment, those binaries will not work. Therefore, it is necessary to keep “older” 32-bit binaries (available here: https://web.archive.org/web/20220930093914/https://download.sysinternals.com/files/SysinternalsSuite.zip) with the latest available 64-bit binaries. The file Readme_First_Please!.txt has been updated to indicate this.

 

• Windows event extraction. Thanks to a report from David Paramio, we identified that in recent versions of Windows 10 and Windows 11, EVTX files were being extracted correctly, but when analyzed, they appeared empty or corrupted. After investigating the issue, we found that the problem was caused by Forecopy, a helper tool used by all previous versions of Wintriage, which is no longer maintained and appears to be incompatible with newer Windows event formats. As a result, we have removed this dependency and implemented native file copying for event logs. This eliminates the need for Forecopy, which has also been removed from the Readme_First_Please!.txt file.

 

• Since the wmic binary does not exist on Windows 11, its execution resulted in an error. Wintriage now checks for the existence of the binary before attempting to execute it. If it is not present, it is simply skipped.

 

• In some cases, the UsrClass.dat file of the user running Wintriage was not being extracted. Testing with Rawcopy (the tool previously used to copy in-use files) showed that it worked for any open file except UsrClass.dat. However, the same user’s UsrClass.dat files located in shadow copies were successfully extracted. This led to the idea of creating a shadow copy, extracting the file from there, and then deleting the shadow copy. This mechanism was implemented successfully. At that point, it became clear that this approach allowed us to avoid using Rawcopy altogether and instead rely directly on Windows API calls to copy files. By creating a shadow copy before extracting the bulk of the files, Rawcopy can be avoided (which is significantly slower), and files can be copied using native API calls. The performance improvement is HUGE: a simple test that previously took 1 minute and 30 seconds now completes in just 4 seconds.

 

• In previous versions, it was possible to select only specific users from whom to extract forensic artifacts. However, in systems with a large number of users (very common in terminal servers or VDI environments), users exceeding the available screen space were not visible, and their buttons could not be accessed. In this version, users are displayed within a scrollable area. This improvement was suggested by George Onofrei after encountering this limitation during an incident. From now on, this issue is resolved.
• Previously, whenever a function invoked Rawcopy to copy one or more files, the full Rawcopy output was displayed. This generated a large amount of log data with little forensic value, as the specific technique used by Rawcopy is usually not relevant. Therefore, the verbosity of Rawcopy output within Wintriage has been reduced.

 

New forensic artifacts:

 

• Until now, Wintriage extracted the PowerShell command execution history for each user. However, during an incident, we observed an attacker executing PowerShell commands after escalating privileges to SYSTEM. This history was stored at: C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt If this file exists, Wintriage will now copy it to the Evidencias\Users\SYSTEM. directory.

 

• For Windows 2003 and Windows XP systems (which we still need to extract from, especially in industrial environments), Wintriage now also extracts registry hive files located in C:\Windows\Repair, if they exist.

 

• Extraction of the config.xml file related to recently opened files in Notepad++ has been implemented.

 

• The great Antonio Sanz pointed out the existence of a commercial tool that searches for and extracts .vbs, .ps1 and .wsh. files. In certain investigations—especially those involving potential download, creation or execution of scripts—this can be very useful. Since this process is time-consuming, it is disabled by default. It has been implemented in two phases:
• • Searching for the three file types and generating a list only in a .txt file.
  • Creating a .7z archive containing all the identified files.
• 
• DuckDuckGo has been added as another supported browser from which Wintriage extracts history, cookies, and cache artifacts, if user profiles exist.

 

• Microsoft Teams has been part of Windows for quite some time now. We have encountered multiple cases involving the exfiltration of corporate files through Teams, as well as legal disputes centered on chat content. For this reason, we have implemented the extraction of Microsoft Teams forensic artifacts related to chats and transferred files, as described in the following post: https://medium.com/@iramjack8/microsoft-forensics-ii-3292ff693161.

 

• Teams is not the only interesting forensic artifact. When clicking a link, Microsoft Teams uses an embedded Chromium-based browser, which generates its own History, Cookies, and Cache artifacts. If these exist in a user profile, Wintriage now extracts them as well.

 

• The command «powercfg /batteryreport» has been added to the “command execution” section. While its forensic usefulness may not always be clear, as we often say, it is better to have it than not. It has a negligible execution cost and complements the previously implemented «powercfg /sleep».

 

• Teams is not the only Microsoft product that creates a Chromium profile—Microsoft Outlook does as well. As David Paramio explained some time ago, when opening a file from an email in Outlook, cache data may be left in: AppData\Local\Microsoft\Olk\EBWebView\Default\Cache\Cache_Data\. Further investigation revealed that a full Chromium profile exists at this location. If present, Wintriage now extracts it under the Browsers directory.

 

• A tweet referenced a SQLite file related to OneDrive activity. If a user profile contains the file located at: (\AppData\Local\Microsoft\OneDrive\settings\Personal\UXDatabase.db) Wintriage will now extract it.

 

• In the Events section, Wintriage now extracts files related to the detection and operation of Windows Defender and the Microsoft Removal Tool. Initially, these were thought to be of limited use, but in recent ransomware incidents they have proven to be extremely valuable to work with them.

 

• In addition to the Thumbcache files previously extracted by Wintriage, all Iconcache files are now also extracted. Their forensic value may be limited, but again, better to have them than not to have them.

 

• Starting with this version, Wintriage extracts the OBJECTS.DATA file (located in C:\WINDOWS\system32\wbem\Repository\ or C:\WINDOWS\system32\wbem\Repository\FS). This file contains SCCM telemetry logs and can be parsed using the scripts from David Pany’s repository: https://github.com/davidpany/WMI_Forensics

 

Miscellaneous:

 

• Previously, when Shadow Copy extraction was enabled, Wintriage would extract all system and user artifacts available at the time of each shadow copy, regardless of the artifacts selected globally. From this version onward, when the Shadow Copies option is enabled, Wintriage will extract, for each shadow copy, only the same forensic artifacts selected at a global level.

 

• I have added my colleague and friend Javier Horcajada to the acknowledgements for his QA contributions.

 

• Full compatibility with Windows Server 2025 has been verified, both in the standard and Core editions.

 

As always, you can download Wintriage from:  https://cursos.securizame.com/extra/wintriage.7z. Inside the archive, you will find the Readme_First_Please!.txt file with the dependencies that still need to be resolved in order to have all the auxiliary files required by Wintriage.

Remember that if you take our Online++ courses and/or the DFIR and Forensic Analysis training plan, you will have access to the version of Wintriage (and Lintriage) with all dependencies already resolved.

We hope you enjoy using Wintriage, and if you encounter any issues, bugs, or identify new artifacts that should be extracted, please let us know at:
https://www.securizame.com/contacto Wintriage is developed at Securízame, but it is meant to be used by anyone working in DFIR who wants access to the most complete and versatile Windows triage tool, and it’sfree :D.

You can download Wintriage from https://cursos.securizame.com/extra/wintriage.7z.

SHA-256 hash for this version is bcc045c9e42464b209b3bdf681084d58c5fcd07554db87d9afac7ceaa3a4c2e2