En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Análisis forense de cola de impresión de Windows.

Es posible recuperar el último archivo impreso en Windows y visualizarlo. Para realizar esta técnica es necesario saber el funcionamiento de la cola de impresión en Windows.

En el momento que se envía un archivo a imprimir, se crea un archivo de almacenamiento intermedio en formato EMF, donde se almacena lo que se envía a la impresora y las opciones de impresión, su extensiones son: *.SPL y *.SHD. Cuando la impresión finaliza, Windows borra estos archivos que se almacenan en:

c:\windows\system32\spool\printers

Para hacer un análisis forense del último documento impreso, hay que usar un software de recuperación para obtener los archivos *.SPL y *.SHD.

Una vez recuperado estos archivos con la herramienta EMF Spool Viewer es posible: descifrar estos archivos, visualizar el último archivo impreso y obtener las propiedades de impresión utilizadas

Para la cronología de la escena podemos usar los metadatos del archivo o la fecha de eliminación ya que corresponde con la fecha de impresión. Esta técnica funciona para Windows NT/2000/XP/VISTA.

Más información y descarga de EMF Spool Viewer:
http://www.codeproject.com/KB/printing/EMFSpoolViewer.aspx

Más información sobre la cola de impresión y archivos EMF:
http://www.microsoft.com/india/msdn/articles/130.aspx
Análisis forense de cola de impresión de Windows. Análisis forense de cola de impresión de Windows. Reviewed by Álvaro Paz on miércoles, septiembre 09, 2009 Rating: 5
Publicar un comentario en la entrada
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.