Icono del sitio Perito Informático

Historial de Actividad en Windows 10 desde el punto de vista forense

Historial de Actividad en Windows 10 desde el punto de vista forense

Historial de Actividad en Windows 10 desde el punto de vista forense

La actualización de Abril de 2018 que Microsoft lanzó para Windows 10 hace unos días incluye una nueva función llamada “Historial de Actividad”. Este historial es similar al historial del navegador, pero aplicado a todas las acciones realizadas en el ordenador. Por eso es tán interesante desde el punto de vista forense, dado que aporta información cronológica, que junto con la MFT, las “jump lists” y las “shell bags”, nos permiten tener una visión muy completa de lo que ha ocurrido recientemente en este equipo.

El “Historial de actividad” proporciona una cronología o “timeline” que no solo contiene los sitios web que visitó el usuario, sino también los documentos que editó, los juegos que jugó, las imágenes que vio o creó, etc. Esta característica es opcional en Windows 10 a partir de la versión 1803, aunque se activa por defecto al instalar la actualización. Se configura dentro de las opciones de “Privacidad” de Windows 10.

Configuración del Historial de Actividad de Windows 10 en la sección de “Privacidad”

Contenidos

Qué aporta el Historial de Actividad al usuario

Desde el punto de vista del usuario, esta funcionalidad aparece habitualmente anclada en la barra de tareas de Windows 10, junto al icono o la barra de búsqueda de Cortana, aunque hay una combinacion de teclas para activarla, que en este caso es “Windows+Tab”. Inicialmente aparecen las aplicaciones que están abiertas en ese momento en el equipo, pero si aplicamos el scroll hacia abajo, podremos ver las actividades principales de cada día, con opción de desplegar los detalles de cada día, y ver las actividades hora por hora.

El historial de actividades de Windows 10 desde el punto de vista del usuario.

Por lo que vemos en un análisis rápido, no está mostrando todas las aplicaciones abiertas, pero habrá que analizar la información almacenada para ver si es sólo un tema de presentación, o realmente sólo guarda la información de ciertas aplicaciones.

El análisis forense del Historial de Actividad

A continuación vamos a localizar dónde está windows almacenando esta información. Si utilizamos ProcMon de Sysinternals o una simple búsqueda por alguno de los ficheros abiertos, no es complicado localizar que el archivo que almacena esta información es una base de datos SQLite que se encuentra en “C:\Users\<usuario>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db”.

Esta bbdd tiene una estructura sencilla y con nombres de tabla y campos bastante comprensibles, lo cual facilita su análisis.

Estructura de la BBDD ActivitiesCache.db

Además, la vista “SmartLookup” parece claramente estar hecha para que windows pueda consultar de forma sencilla la información, de cara a visualizársela al usuario. Las tablas principales son “Activity” y “ActivityOperation”. Algunos de los campos de la BBDD tienen los datos almacenados en formato “JSON”, como por ejemplo “Payload” o “AppId”, lo cual puede complicar levemente el análisis, y deja la puerta abierta a que pueda variar en el futuro el formato de los mismos.

Las fechas están representadas en formato UNIX epoch timestamp (nº de segundos desde 01/01/1970) y es necesario convertirlas para un análisis detallado.

El campo “AppId” contiene la información de la aplicación que ha sido utilizada para abrir un determinado archivo,  pero tiene también información relativa a otras aplicaciones (tanto de la misma plataforma como de otras, como iOS o Android) que podrían servir para abrir este mismo archivo. Os pego un artículo de Microsoft en el que explican las interfaces que hay que utilizar a nivel de programación para poder registrar los datos de la actividad (en el Historial de Actividad) y sobre todo, para poder mantener la experiencia del usuario incluso en distintas plataformas.

Desde un punto de vista forense, probablemente de aquí se pueda extraer información que nos  permita determinar la vinculación del sistema con Windows 10 con otros dispositivos iOS y Android.

El campo “Payload” contiene la mayoría de la información que el usuario puede visualizar en la pantalla del historial de actividad, como las rutas de los ficheros abiertos, URL’s de páginas web visitadas, etc…

Para un análisis más profundo y más sencillo, lo ideal es exportar esta información a un fichero CSV o similar, como hacemos con otros artefactos forenses como la MFT. La vista “SmartLookup” que puede ser fácilmente exportable desde cualquier herramienta para SQLite puede ser un buen punto de partida, aunque las fechas estarán todavía en formato UNIX epoch. También podría crearse un script en Powershell o en Python.

O si queréis no complicaros demasiado, os recomiendo echar un vistazo a la herramienta WxTCmd Version 0.2.1.0 de Eric Zimmerman, que os permitirá una exportación simple y productiva.

Herramienta WxtCmd de Eric Zimmerman para la exportación a CSV del Registro de Actividad

En el caso de mi equipo Windows 10 de trabajo, extrañamente la tabla “Activity” esta vacía, sin embargo, la información de las actividades aparece registrada en “ActivityOperation” de forma detallada. No sé si esto se repetirá en otros equipos, o bien si se ha producido algún cambio en la forma de almacenar la información en la BBDD SQLite, y por eso la aplicación de Eric no me devuelve resultados correctos.

Supongo que este nuevo artefacto es algo que todavía está muy reciente y evolucionará con el paso del tiempo, pero al menos he podido compartir con todos este análisis inicial del mismo. Espero que os haya resultado de utilidad, dado que creo que todavía nadie había hablado de esto en español, y os invito a dejar vuestras impresiones en los comentarios.

Salir de la versión móvil