Es posible recuperar el último archivo impreso en Windows y visualizarlo. Para realizar esta técnica es necesario saber el funcionamiento de la cola de impresión en Windows.
En el momento que se envía un archivo a imprimir, se crea un archivo de almacenamiento intermedio en formato EMF, donde se almacena lo que se envía a la impresora y las opciones de impresión, su extensiones son: *.SPL y *.SHD. Cuando la impresión finaliza, Windows borra estos archivos que se almacenan en:
c:\windows\system32\spool\printers
Para hacer un análisis forense del último documento impreso, hay que usar un software de recuperación para obtener los archivos *.SPL y *.SHD.
Una vez recuperado estos archivos con la herramienta EMF Spool Viewer es posible: descifrar estos archivos, visualizar el último archivo impreso y obtener las propiedades de impresión utilizadas
Para la cronología de la escena podemos usar los metadatos del archivo o la fecha de eliminación ya que corresponde con la fecha de impresión. Esta técnica funciona para Windows NT/2000/XP/VISTA.
Más información y descarga de EMF Spool Viewer:
http://www.codeproject.com/KB/printing/EMFSpoolViewer.aspx
Más información sobre la cola de impresión y archivos EMF:
http://www.microsoft.com/india/msdn/articles/130.aspx
Enlaces:
http://vtroger.blogspot.com/2009/09/analisis-forense-de-cola-de-impresion.html
Marcadores