Es posible recuperar el último archivo impreso en Windows y visualizarlo. Para realizar esta técnica es necesario saber el funcionamiento de la cola de impresión en Windows.
En el momento que se envía un archivo a imprimir, se crea un archivo de almacenamiento intermedio en formato EMF, donde se almacena lo que se envía a la impresora y las opciones de impresión, su extensiones son: *.SPL y *.SHD. Cuando la impresión finaliza, Windows borra estos archivos que se almacenan en:
c:\windows\system32\spool\printers
Para hacer un análisis forense del último documento impreso, hay que usar un software de recuperación para obtener los archivos *.SPL y *.SHD.
Una vez recuperado estos archivos con la herramienta EMF Spool Viewer es posible: descifrar estos archivos, visualizar el último archivo impreso y obtener las propiedades de impresión utilizadas
Para la cronología de la escena podemos usar los metadatos del archivo o la fecha de eliminación ya que corresponde con la fecha de impresión. Esta técnica funciona para Windows NT/2000/XP/VISTA.
Más información y descarga de EMF Spool Viewer:
http://www.codeproject.com/KB/printing/EMFSpoolViewer.aspx
Más información sobre la cola de impresión y archivos EMF:
http://www.microsoft.com/india/msdn/articles/130.aspx
Autor: Alvaro Paz
Fuente: Guru de la informática
Subscribe to:
Post Comments (Atom)
geniall! me encanto...buen post javi!
ReplyDeletelindo para investigar como te usan la impresora dentro de una empresa, a ver si imprimen cosas fuera del trabajo!
salutes!!
Sebas
Para dejar corriendo algun programa que vaya backupeando los SPL y SHD!
ReplyDeleteBuena data si soy yo el que paga la tinta y el papel!jaja
Saludos
jejejeje, así es! Gracias por los comments, muchachos!!!!
ReplyDeleteBTW: trataré de ir subiendo más cosas (mucho time sharing por ahora).