marzo 2020 ~ Un minion curioso

Hola, secuaces:

Este es otro de esos trabajos atascados en un rincón de los pendientes de publicar… y cuyo inicio se remonta a los primeros meses del año 2018… De hecho, el nombre original del proyecto era ‘OP Zanahoria’, en honor a la familia de ‘Follow the White Rabbit’, una banda de ‘peligrosos hackers’ a quienes les debo mucho. ¡Un gran abrazo desde esta parte de la pantalla, amigos!

Traté de buscar el momento adecuado para exponerlo, pero unas circunstancias y otras lo alargaron mucho en el tiempo, hasta que un día decidí presentarlo al primer CFP del Congreso de C1b3rwall, junto a Eduardo Sánchez Toril, en un diseño que presentaba un supuesto de ‘redteam’ combinado con otro de ‘blueteam’, resultando ganadores del mismo y teniendo la oportunidad de exponer dicho trabajo en el escenario.

Dice un buen amigo que, “si eres capaz de escribir sobre algo, es que lo has entendido. Y, si lo has entendido, eres capaz de contarlo. Por lo tanto, si eres capaz de contarlo, puedes hacer que otros lo entiendan. Así se hace la cadena del conocimiento”.

Este trabajo en cuestión trata sobre el análisis forense de máquinas virtuales, montadas sobre VirtualBox.

Cada vez más, los hombres de Ley usamos la virtualización. La virtualización es una tecnología que presenta muchas ventajas a la hora de llevar a cabo una investigación. No hay duda de ello. Pero, esas ventajas, pueden llegar a convertirse, del mismo modo, en grandes inconvenientes, cuando alguien se enfrenta a ellas porque, los ‘chicos malos’, también, cada vez más, emplean esta tecnología de virtualización para llevar a cabo sus fechorías.

Antes de nada, prometo no extenderme en esta explicación, hay que saber qué es la virtualización, para qué sirve, qué hace y todas esas definiciones necesarias de leer y de entender. Hay mucho material publicado en relación a este concepto. Puedes leer grandes artículos sobre la virtualización. Pero yo he optado por usar un par de breves artículos que publicó Microsoft para ello:

¿Qué es la virtualización?

“La virtualización crea un entorno informático simulado, o virtual, en lugar de un entorno físico. A menudo, incluye versiones de hardware, sistemas operativos, dispositivos de almacenamiento, etc., generadas por un equipo.”

¿Qué es una máquina virtual?

“Una máquina virtual es un archivo de PC, que suele denominarse “imagen”, que se comporta igual que un equipo real. Dicho de otro modo, es crear un equipo dentro de un equipo.”

Volviendo al trabajo en cuestión… originalmente, trabajé sobre un Sistema Windows 7, sobre el que corría, con VirtualBox, una serie de máquinas virtuales, también sobre Windows 7. Cuando lo retomé por segunda vez, trabajé sobre un Sistema Windows 10, sobre el que corría, con VirtualBox, una serie de máquinas virtuales, sobre Windows 7. De la realización de las pruebas en un sistema y en otro, se produjeron una serie de resultados con alguna ligera diferencia. Todo ello, sobre un disco duro SATA, mecánico, de 80 GB. El objetivo que me propuse cuando comencé este proyecto era el de extraer, o localizar, el contenido de las máquinas virtuales utilizando, para ello, una serie de supuestos, que mencionaré a continuación.

Tengo que aclarar que la historia que se cuenta a continuación es, puramente, ficticia. Lo que viene siendo un poco de breve literatura.

En esa historia, se procede a la explotación de una operación policial, a la que he denominado ‘OP Tanjawi’, contra un delito de enaltecimiento del terrorismo salafista yihadista, de adoctrinamiento y auto adoctrinamiento, produciéndose la detención de un individuo y la incautación de diverso material digital, entre el que se encuentran múltiples discos duros con máquinas virtuales y diversos, muy diversos, dispositivos de almacenamiento USB.

Un consejo: Nunca, nunca, nunca, descartes ningún objeto, por ridículo que pueda parecer. (Te sorprenderías).

Introducción

Estamos procediendo con la explotación de una operación denominada ‘OP Tanjawi’, en la que tenemos, como principal investigado, a una persona que está realizando labores de enaltecimiento del terrorismo salafista yihadista y está llevando a cabo el auto adoctrinando y adoctrinamiento de terceras personas. Sabemos, por colaboradores externos de confianza, (sí, un chivato), que estas labores las está realizando por medio de dispositivos USB, que les facilita a esas terceras personas, insertando los mismos en su equipo, dentro de máquinas virtuales, para su posterior visionado, tanto en solitario, como en compañía de otros. Sabemos que la persona investigada tiene conocimientos sobre seguridad informática, por lo que se debe actuar con rapidez y cautela, (como siempre).

Hemos conseguido acceder a la vivienda derribando la puerta con el equipo operativo correspondiente… y observamos que la persona investigada está haciendo uso de su sistema...

-“Jefe, el equipo está encendido, ¿Qué hacemos?”.-

-“¡¡Valora!!”.-

Escenarios recreados

Se han recreado varios posibles escenarios usando, para ello, un sistema Windows 7 virtualizado bajo VirtualBox, sobre un equipo anfitrión con un sistema Windows 10. Todos los casos han sido recreados con el sistema anfitrión encendido. Como mencionaba anteriormente, el equipo informático tiene un disco duro SATA, mecánico, de 80 GB.

Máquina virtual iniciada

Sin cifrar
Cifrada

Máquina virtual parada

Sin cifrar
Cifrada

Máquina virtual eliminada

Sin cifrar
Cifrada

Máquina virtual eliminada y fragmentada

Sin cifrar
Cifrada

Si ello fuera poco, dentro de estos escenarios, planteé otros relacionados a la forma de proceder con el equipo:

1. Proceder a la recolección de las evidencias volátiles, con el equipo físico encendido.

2. Llevar a cabo el apagado normal del equipo físico.

3. Desconectar el equipo físico de la red eléctrica.

(Para cada escenario, sin contar el original, se creó la correspondiente imagen forense del disco duro. Por lo que puedes imaginar, si realizas las cuentas oportunas, la cantidad de horas que tuvo que sufrir ese disco duro… y yo mismo).

En lo referente a las acciones efectuadas en el sistema, se ha procedido a:

La inserción de un dispositivo USB en la máquina virtual
El copiado de dos ficheros, desde el dispositivo USB a una carpeta del sistema virtualizado
La extracción del dispositivo USB del sistema
La visualización de un fichero de imagen, con nombre ‘Aplastando al enemigo.jpg’
La visualización de un archivo de vídeo, con nombre ‘Dentro del Khilfah.mp4’
Otro contenido disponible dentro del dispositivo USB, que no ha sido explorado.

Dado el volumen de datos con el que he trabajado, no voy a exponer todos los resultados obtenidos. Tan solo expondré aquellos que creo que son de interés. De lo contrario podría resultar un artículo mucho más extenso de lo que suele ser habitual.

A saber…

Windows tiene lados anti forenses. Windows escribe archivos, constantemente, en el disco duro. En los sistemas con Windows 7 esto ocurre en menor medida que en los sistemas con Windows 10 porque Windows 10 trabaja con más del doble de procesos que Windows 7.

Windows tiene programadas, por defecto, una serie de tareas de mantenimiento automático. Son muy peligrosas las tareas de ‘ScheduledDefrag’, que se encarga de la desfragmentación del disco duro, (sólo en los discos mecánicos), y ‘SilentCleanup’, que se encarga de la limpieza silenciosa del disco, cuando el espacio en disco es escaso. El mantenimiento automático se puede evitar desconectando la alimentación eléctrica del equipo, en el caso de que el mismo disponga de una batería.

Si el equipo se encuentra apagado, no hay que encenderlo. No debe caber duda alguna en ese caso. Si el equipo se encuentra encendido, hay que proceder a la captura de la memoria RAM, a las búsquedaa de unidades cifradas, ... ¿Siempre? La memoria es una mina de información, muy volátil, pero, ¿Siempre?

De momento, dejo esa pregunta en el aire.

En este caso, vamos a utilizar la herramienta Volatility para efectuar el análisis de la memoria RAM. Como siempre, cada caso necesitará del uso de una serie de plugins, o de otros. Vamos a utilizar los siguientes:

● mftparser

● dumpfiles

● vaddump

También vamos a llevar a cabo una recuperación de ficheros sobre la memoria RAM, usando la herramienta Foremost.

Una vez efectuado el volcado de la memoria RAM, hay que proceder a la creación de imágenes, (imágenes no es sólo una imagen), forenses del disco duro.

Con dichas imágenes forenses del disco duro vamos a realizar una extracción de ficheros de interés con la herramienta SleuthKit, que es un marco de trabajo con un conjunto de pequeñas utilidades que pueden procesar imágenes de disco. SleuthKit puede extraer tanto ficheros no eliminados como ficheros eliminados.

Dado que nos vamos a encontrar con máquinas virtuales cifradas, vamos a efectuar una fuerza bruta sobre dicha máquina, gracias a la inestimable ayuda de Guillermo Román Ferrero, al objeto de extraer su clave de cifrado.

Vamos a buscar discos duros virtuales alojados dentro del propio disco duro, dentro de la propia imagen forense.

Vamos a buscar un contenido específico, en bruto, llevando a cabo dicha búsqueda en toda la imagen forense del disco en busca de una cadena de texto que vamos a especificar.

Y la finalidad de todo este procedimiento es la detección de contenido ilícito, de indicios del mismo, o de posibles pruebas de eliminación de evidencias.

Análisis de memoria con Volatility, (mftparser)

Antes de comenzar con el análisis, propiamente dicho, del volcado de memoria RAM, éste debe ser identificado correctamente. Este proceso se realiza mediante el plugin kdbgscan, prestando atención a los valores que devuelven los campos ‘Build string (NtBuildLab)’ y ‘KdCopyDataBlock’, debiendo contener el campo ‘PsActiveProcessHead’, un valor distinto a cero.

Podríamos utilizar el plugin timeliner para efectuar una línea de tiempo, donde podríamos ver la ejecución de aplicaciones, las horas de conexiones de dispositivos al sistema y algunos otros datos. Pero timeliner sólo muestra información relativa al equipo anfitrión.

Si tenemos en cuenta que todo, en el sistema de archivos NTFS, es un fichero. Y si tenemos en cuenta que todo fichero, en el sistema de archivos NTFS, se graba en la MFT. Si a este hecho le añadimos que en la memoria se cargan todas las MFT de cualquier volumen montado en el sistema, nos encontramos con que podemos extraer contenido de cualquier dispositivo conectado, aunque no se haya explorado.

En la siguiente imagen podemos observar 3 MFT distintas. Nos encontramos con las MFT correspondientes al volumen 1 y al volumen 2. Y podemos apreciar la existencia de una MFT que se corresponde al ‘HarddiskVolume209’ y que pertenece a una máquina virtual.

Por ello vamos realizar una línea de tiempo sobre la(s) MFT.

¿Qué es la MFT? La MFT es la Tabla Maestra de Ficheros. Se podría decir, de un modo muy resumido, que es un índice que nos va a indicar en qué parte, o partes, del disco se encuentra alojado un determinado fichero y nos va a mostrar, además de otros muchos datos, todos los metadatos de ese fichero. Toda esta información se almacena en los registros de la MFT. Un registro para cada fichero.

Si ejecutamos:

● mftparser --output=body --output-file MFTParser.txt -D MFT

● mactime -b MFTParser.txt >> MFTParser.csv

Vamos a obtener una línea de tiempo de la(s) MFT, con un fichero ‘.csv’ tabulado y, además, vamos a descargar todo el contenido residente en ellas. Porque es posible encontrar datos residentes en la MFT. Ficheros que no ocupan espacio en disco.

Si ejecutamos:

● mftparser --output-file=/mnt/c/Results/mftparser.txt

Vamos a obtener una vista detallada de todo el contenido en toda(s) las MFT, ejecución de aplicaciones, nombres de usuario, rutas de las distintas máquinas virtuales, el nombre de las propias máquinas virtuales, las marcas de tiempo de las máquinas virtuales, contenido almacenado en las máquinas virtuales, …

De este modo, y a modo de ejemplo, podemos ver que el usuario ‘MC’ ha abierto un fichero de imagen, porque podemos obtener los documentos recientes.

O podemos ver que se encuentra alojado, dentro de la carpeta ‘Descargas’ del usuario ‘MC’, un vídeo con el nombre ‘Dentro del Khilfah.mp4’.

Incluso podemos obtener el contenido no explorado del propio dispositivo USB que hemos usado para recrear los escenarios, obteniendo nombres de carpetas y nombres de ficheros, con sus marcas de tiempo correspondientes.

Todo este contenido es el perteneciente a una máquina virtual. En resumen, podemos ver cualquier contenido de cualquier dispositivo, de cualquier volumen, que se encuentre o se haya encontrado en el sistema, se haya abierto y explorado, o no.

Análisis de memoria con Volatility, (dumpfiles)

La memoria RAM cachea, almacena, todos los ficheros que el usuario abre, pero también cachea ficheros que no han sido abiertos por el usuario. Este contenido se almacena de forma temporal. Así que podemos buscar qué ficheros están cargados en memoria, haciendo uso de ‘filescan’.

Que un fichero esté cargado en memoria no significa que pueda ser extraído. Recordemos que la memoria es muy volátil y está en constante cambio.

Podemos hacer uso de ‘dumpfiles’ para descargar los ficheros que estén cacheados en la memoria para extraer, por ejemplo, los logs de las máquinas virtuales y los ficheros de configuración de esas máquinas virtuales.

Si ejecutamos:

● dumpfiles -n -S Summary.txt -D Dumpfiles

Vamos a descargar todos los ficheros que se encuentren cacheados, almacenados, en memoria. En este caso, podemos encontrar, por ejemplo, el fichero de configuración del disco duro de la máquina virtual, ‘Win7x64.vmdk’.

Análisis de memoria con Volatility, (vaddump)

Podemos listar los procesos del sistema haciendo uso de ‘pslist’ para ver una lista de aplicaciones en ejecución, con su posición en memoria, su nombre, su ID, su proceso padre, …

Y con esa lista de procesos también obtenemos la fecha y hora de inicio y de salida de cada proceso, en caso de que no se encuentren activos en el momento de la adquisición.

Si se están ejecutando los procesos relacionados con VirtualBox, descargamos las páginas de memoria de esos procesos, haciendo uso de ‘vaddump’:

● vaddump -p (ID Process) -D Vaddump/

Y si los procesos relacionados con VirtualBox no se están ejecutando, vamos a descargar, de igual manera, las páginas de memoria del resto de procesos. ¿Por qué?

Porque los procesos tienen asignado un espacio privado de memoria, pero también tienen asignado un espacio en memoria que es compartido con otros procesos, y de ese modo se puede encontrar el mismo contenido en cualquiera de esos dos espacios de trabajo de memoria.

En el caso que nos ocupa vamos a extraer, a través de las páginas de memoria, contenido de la máquina virtual, con indicación de su posición en memoria y el proceso al que se corresponde.

De este modo, por ejemplo, podemos ver en varias ocasiones los dos ficheros alojados en la máquina virtual y podemos ver que han sido abiertos, incluso con su fecha de visualización.

Podemos ver el contenido de una carpeta del dispositivo USB.

Podemos ver que se ha reproducido un vídeo, pudiendo determinar el nombre del sistema de la máquina virtual y el usuario que lo ha reproducido.

Incluso podemos ver y extraer el fichero de configuración ‘.vbox’ de una máquina virtual, con su correspondiente clave de cifrado.

Este fichero se puede reconstruir y puede ser descifrado.

Recuperación de ficheros en memoria, (Foremost)

La recuperación de ficheros es algo “fácil” de hacer y no requiere “demasiado tiempo”. Con el carving recuperamos ficheros a través de sus cabeceras, pies y estructuras de datos.

Pueden ser recuperados y extraídos, tanto ficheros completos como fragmentos de archivos. Podemos obtener vídeos, o fotogramas de vídeos, imágenes, documentos, … cualquier extensión que le indiquemos.

Como norma general, el carving se suele efectuar sobre las propias imágenes forenses creadas, sean de memoria o sean de disco. Pero en esta ocasión lo vamos a efectuar sobre el directorio de las páginas de memoria que hemos descargado antes. ¿Por qué? Por dos razones.

Primeramente, porque si efectuamos el carving sobre la imagen del volcado de memoria podemos obtener resultados que nos desconcierten, por decirlo de algún modo. Por ejemplo, si hemos insertado un dispositivo USB en el equipo para proceder con la correspondiente captura de la memoria RAM, y tenemos, además de la propia herramienta de captura de memoria, otras herramientas, vamos a obtener, por ejemplo, imágenes o fragmentos de esas otras herramientas. Es decir, que estamos contaminando la evidencia.

Si somos ‘retorcidos’, podríamos tener alojado en nuestro dispositivo USB, dispositivo con el que realizamos la captura de memoria, otro tipo de contenido ilícito para que, cuando se efectúe el carving sobre el volcado de memoria, aparezca ese contenido en los resultados obtenidos. Es decir, que podríamos involucrar a una persona, sin ser conscientes de ello. Y no somos retorcidos. Buscamos la verdad.

En segundo lugar, vamos a realizar el carving sobre las páginas de memoria porque, si lo realizamos sobre el volcado de memoria, puede que no seamos capaces de determinar su origen, mientras que si lo llevamos a cabo sobre las páginas de memoria sí podemos determinar que pertenece a un determinado proceso, una máquina virtual, y podemos determinar que ha sido visualizado y abierto en una franja horaria, entre el inicio y la salida del proceso relacionado a la máquina virtual.

Es decir que, si procedemos con el carving sobre el directorio de las páginas de memoria, podemos determinar la fuente de ese fichero.

En el caso que nos ocupa, podríamos comparar los resultados obtenidos con una base de datos, si contamos con ella, con otro contenido original. O podríamos prestar especial atención a la simbología. Un poco de OSINT no hace daño a nadie.

Análisis de la imagen de disco duro, (Máquina virtual no eliminada)

Ya se ha mencionado anteriormente que la memoria RAM es una mina de oro, en cuanto a la información que en ella se puede encontrar. Y también se ha mencionado que Windows tiene lados antiforenses, como las tareas de mantenimiento o el propio hecho de que Windows escriba constantemente ficheros en el disco duro. Este hecho último es muy dañino para un análisis forense, en cuanto a la recuperación y extracción de contenido eliminado en el sistema.

Debes saber que, una máquina virtual, tiene logs, que tiene ficheros de configuración, que tiene, al menos, un archivo de disco duro y que puede ser cifrada.

Por otro lado, debes saber que, un archivo de disco duro es un archivo, tiene una cabecera y que puede ser fragmentado. Igualmente, un archivo de disco se comporta como un disco duro, tiene una cabecera y contiene información.

Por todo ello, el tiempo es un factor muy crítico y por ello hay que saber cómo actuar en cada momento.

De este modo, si la máquina virtual no ha sido eliminada y no está cifrada, podemos montar la imagen forense del disco duro, para montar, después, el disco duro de la máquina virtual y podemos explorar y extraer el contenido alojado en esa máquina virtual.

Si la máquina virtual no ha sido eliminada y está cifrada, podemos montar la imagen forense del disco duro, extraer los ficheros de configuración y aplicar fuerza bruta, con la herramienta ‘vboxDieCracker-py’, sobre el fichero ‘.vbox’, que es quien almacena la clave de cifrado. Una vez extraída la clave de cifrado de la máquina virtual, podemos hacer una copia de dicha máquina virtual, configurarla en nuestro laboratorio y eliminar su cifrado para analizarlo como cualquier otro sistema.

Análisis de la imagen de disco duro, (Máquina virtual eliminada)

Si la máquina virtual ha sido eliminada, el registro correspondiente a ese fichero se marca como ‘Deleted’ en la MFT, pero su contenido, sus clústeres, permanecen intactos hasta que se sobreescriba su información.

Cuando Windows crea un fichero, asigna el número de registro más bajo en la MFT y asigna, de igual modo, los primeros clústeres que no estén asociados a ningún registro de la MFT.

¿Cuándo crea Windows un fichero? Basta situar el cursor del ratón sobre un icono para que lo haga. Por esta razón, sólo hay que tocar el sistema para las tareas básicas e imprescindibles.

El archivo del disco duro de la máquina virtual puede permanecer intacto en la imagen forense y se podría ver en la exploración de la misma imagen, siempre y cuando se den algunas condiciones. A saber, que el sistema no haya iniciado las tareas de mantenimiento, que el sistema sea desconectado rápidamente, cuando la máquina virtual ha sido eliminada y si no se ha sobrescrito ningún clúster asignado a ese fichero de disco duro de la máquina virtual.

Existen varias opciones para recuperar ese contenido, esa máquina virtual. Nosotros vamos a utilizar un marco de trabajo muy completo y potente, llamado The SleuthKit.

Podemos usar ‘fls’ para listar las entradas de la MFT y, después, haciendo uso de ‘icat’, podemos extraer el contenido que nos interese.

Análisis de la imagen de disco duro, (Máquina virtual eliminada y fragmentada)

Si la máquina virtual ha sido eliminada y los clústeres han sido sobrescritos… y la máquina virtual no se encontraba cifrada, podemos buscar discos duros dentro de la imagen forense del disco duro, haciendo uso de:

● xxd -c 256 imagen.dd | grep -i -P “00(([0-9A-F]8)|([1-9A-F]0))\s0000\s([0-9A-F]{4}\s){26}55aa\s\s”

Esa línea nos muestra el offset de inicio de cada uno de los discos duros, tanto físicos como virtuales, que se encuentren en la imagen forense de un disco duro. En este caso, tenemos el disco físico en primera posición, (en el offset 100), y 3 discos virtuales.

Con este dato podemos extraer manualmente el contenido desde el offset que nos interese, desde una posición en el disco duro, y proceder a su posterior estudio.

De igual manera, si la máquina virtual ha sido eliminada y los clústeres han sido sobrescritos… y la máquina no se encontraba cifrada, podemos buscar el contenido que deseemos y, en algunas ocasiones, extraerlo.

Quiero pensar que todos tenemos una lista con una serie de palabras clave para nuestras investigaciones.

● blkls -e -f ntfs -o 1126400 imagen.dd | egrep -abi ‘Aplastando|Khilfah|Enemigo’

Esa línea busca en la imagen forense del disco duro las palabras ‘Aplastando|Khilfah|Enemigo’ y, lo que vemos en este caso, son nombres de fichero, rutas y nombres de equipo y de usuario, de las palabras que he empleado en la búsqueda.

La búsqueda se puede efectuar tanto para nombre de ficheros como para el propio contenido.

En cualquier caso, el resultado nos llevará a una ubicación, que consiste en el byte exacto donde se encuentra ese contenido que hemos buscado. ¿Qué hacemos ahora?

Cogemos papel, lápiz y calculadora… porque en primer lugar vamos a determinar el offset de inicio de las particiones en la imagen forense del disco duro.

Para ello hacemos uso de ‘mmls’ sobre la imagen del disco duro.

Después tenemos que determinar el tamaño del sector y el tamaño del clúster del sistema de archivos. Operación que podemos llevar a cabo con ‘fsstat’.

En este caso, obtenemos que el tamaño del sector es de 512 bytes y el tamaño del clúster es de 4096 bytes, es decir, 8 sectores. Anotamos todos estos datos, porque tenemos un contenido de interés en el byte número 764.020.177.

Si un clúster equivale a 8 sectores y si un sector son 512 bytes, podemos buscar el clúster correspondiente a ese contenido con una pequeña fórmula, que consiste en dividir el número de bytes por 4096. (512 bytes por sector y 8 sectores por clúster).

● echo “764020177/(8*512)” | bc

Esta pequeña fórmula nos muestra que el clúster que contiene la información que nos interesa es el número 186528.

Pero esta función no devuelve valores decimales… ¡Mucho cuidado con los decimales!

Usemos una calculadora porque si el decimal del resultado es de un valor superior a 0,5 hay que añadir un clúster más al resultado. Por ejemplo, en este caso tenemos que 764.020.177 dividido por 4096 es igual a 186.528,36. Si en lugar de ser el decimal un valor de 0,36 fuera 0,56, el clúster no sería el número 186.528, si no el 186.529.

A través de ‘blkstat’, podemos determinar si el contenido de ese clúster está asociado a algún fichero o no está asociado a ningún fichero, según nos devuelva los valores de ‘Not allocated’ o ‘Allocated’.

Si el contenido de un clúster está asociado a algún fichero, podemos buscar ese fichero con el valor del clúster.

Podemos usar ‘ifind’ para ver si ese contenido está relacionado a los metadatos correspondientes en la MFT. ‘ifind’ puede producir dos resultados: ‘Inode not found’, que significa que no está asociado a ningún registro de la MFT, y un número, que se corresponde a un registro de un fichero grabado en la MFT.

Si obtenemos ese número de registro de la MFT, podemos usar ‘ffind’ para determinar el nombre de ese fichero.

Y con el número de registro de la MFT, podemos usar ‘icat’ para extraer ese fichero.

Conclusiones

¡¡Piensa rápido y actúa con cautela!!
El tiempo es un factor crítico. No se debe actuar sin un plan. Hay que trabajar con una previsión, con los posibles supuestos que nos podamos encontrar.
No hay que conectar nada que no sea absolutamente necesario para la correcta extracción de las evidencias.
Una herramienta para cada dispositivo. No queremos contaminar nada que pueda echar por tierra todo el trabajo de una investigación.
Si nos encontramos con un equipo que tenga batería, podemos desconectarlo que la corriente eléctrica para evitar que el sistema entre en la fase de mantenimiento.
La adquisición de la memoria RAM es vital. ¿Siempre?
Cualquier acción deja rastro y la ausencia de evidencias es una evidencia de que algo ha pasado, por lo que habría que buscar qué ha pasado.
Básico, en cualquier caso, saber qué buscar, porque si no sabemos qué buscamos, no podemos saber dónde mirar y no podemos saber cómo mirar.
Usa el cerebro y razona.