Artículos con la etiqueta «anti-forense»

• ¿Pueden los atacantes limpiar Amcache?

  Sí — un atacante con derechos de admin puede editar o borrar Amcache.hve, pero la limpieza es detectable: las Volume Shadow Copies, los journals de transacciones y el propio log del appraiser usualmente preservan el estado previo.

  2026-05-24

• Recuperar evidencia de binarios borrados desde Amcache

  Cuando un atacante borra un binario, Amcache a menudo preserva su hash, ruta, publisher y hora de inventario. Un flujo de trabajo práctico para usar Amcache en la investigación de artefactos borrados.

  2026-05-24