Windows
Diferencia básica
| Elemento | Qué hace | Lectura prudente |
|---|---|---|
| Prefetch | Guarda datos para acelerar el arranque de aplicaciones | Puede sugerir ejecución, pero hay que contrastar |
| Superfetch/SysMain | Anticipa recursos usados con frecuencia | Ayuda a rendimiento, no prueba por sí solo una acción humana |
| Línea temporal | Ordena actividad de varias fuentes | Reduce errores de interpretación |
Uso en contexto forense
Un artefacto no es una conclusión
Prefetch puede ser una pieza dentro de una línea temporal, especialmente cuando se intenta entender si una aplicación pudo ejecutarse. Pero su presencia, ausencia o fecha no deberían interpretarse de forma aislada.
Qué contrastar
Conviene comparar Prefetch con registros del sistema, eventos, accesos de usuario, archivos recientes, instalaciones, tareas programadas y contexto del dispositivo. También importa si el equipo siguió usándose después del incidente, porque eso puede modificar la lectura.
Siguiente lectura
Guias relacionadas para continuar
Si quieres seguir con el mismo tema, aqui tienes paginas cercanas que amplian la tecnica, comparan variantes o te llevan a la siguiente rutina.
Guía práctica Etapas de un análisis forense digital explicado paso a paso
Fases de un análisis forense digital: identificación, preservación, adquisición, análisis, contraste, informe, errores comunes y cierre.
Guía práctica Metodología de peritaje informático: fases y trazabilidad
Cómo ordenar una investigación de peritaje informático: objeto, preservación, análisis, contraste, informe y límites.
Guía práctica Análisis forense digital: fases, límites y decisiones prudentes
Una introducción práctica al análisis forense digital para entender recogida, preservación, revisión y conclusiones.
Relacionada Qué es un informe pericial y qué debería aclarar
Elementos habituales de un informe pericial: objeto, método, evidencias, límites y conclusiones comprensibles.
