Blog
Qué hacer cuando una entrada sospechosa sale a la superficie: cómo confirmar la ejecución, qué cruzar, y los patrones de falso positivo más frecuentes.
Recorriendo el servicio de Windows 7 y la tarea programada que escriben RecentFileCache.bcf, y qué significa ese ciclo de vida para las ventanas de triage.
Una lectura práctica del formato binario de RecentFileCache.bcf con un volcado hex, un registro decodificado y los casos límite que un parser tiene que manejar.
Cuatro artefactos Windows de evidence-of-execution lado a lado: qué almacena cada uno, qué no, y cuál abrir primero.
Una breve introducción al artefacto AppCompat de Windows 7: dónde vive, qué registra y por qué sigue apareciendo en casos de triage en 2026.