Skip to content

Series

Entender RecentFileCache.bcf

8 posts in this series. Read them in order or jump to any one.

  1. ¿Qué es RecentFileCache.bcf?

    Una breve introducción al artefacto AppCompat de Windows 7: dónde vive, qué registra y por qué sigue apareciendo en casos de triage en 2026.

  2. El formato .bcf, byte a byte

    Una lectura práctica del formato binario de RecentFileCache.bcf con un volcado hex, un registro decodificado y los casos límite que un parser tiene que manejar.

  3. Application Experience y ProgramDataUpdater: cómo se llena .bcf

    Recorriendo el servicio de Windows 7 y la tarea programada que escriben RecentFileCache.bcf, y qué significa ese ciclo de vida para las ventanas de triage.

  4. RecentFileCache vs Amcache vs Prefetch vs ShimCache

    Cuatro artefactos Windows de evidence-of-execution lado a lado: qué almacena cada uno, qué no, y cuál abrir primero.

  5. Adquirir RecentFileCache.bcf desde sistemas en vivo y offline

    Guía práctica para extraer RecentFileCache.bcf en tres entornos: un endpoint Windows 7 en marcha, una imagen forense de disco y una Volume Shadow Copy.

  6. Triaje: detectar entradas sospechosas en RecentFileCache

    Guía práctica de las heurísticas de ruta, peculiaridades de basename y patrones de unidad que convierten una lista de rutas cacheadas en pistas de investigación.

  7. Validar hallazgos de RecentFileCache: pivotes y falsos positivos

    Qué hacer cuando una entrada sospechosa sale a la superficie: cómo confirmar la ejecución, qué cruzar, y los patrones de falso positivo más frecuentes.

  8. Detectando tampering de RecentFileCache

    Cómo los atacantes suprimen, envenenan o limpian RecentFileCache.bcf — y las señales en event log, tareas programadas y sistema de archivos que los pillan en el acto.

All posts in this series

Una breve introducción al artefacto AppCompat de Windows 7: dónde vive, qué registra y por qué sigue apareciendo en casos de triage en 2026.
Una lectura práctica del formato binario de RecentFileCache.bcf con un volcado hex, un registro decodificado y los casos límite que un parser tiene que manejar.
Recorriendo el servicio de Windows 7 y la tarea programada que escriben RecentFileCache.bcf, y qué significa ese ciclo de vida para las ventanas de triage.
Cuatro artefactos Windows de evidence-of-execution lado a lado: qué almacena cada uno, qué no, y cuál abrir primero.
Guía práctica para extraer RecentFileCache.bcf en tres entornos: un endpoint Windows 7 en marcha, una imagen forense de disco y una Volume Shadow Copy.
Guía práctica de las heurísticas de ruta, peculiaridades de basename y patrones de unidad que convierten una lista de rutas cacheadas en pistas de investigación.
Qué hacer cuando una entrada sospechosa sale a la superficie: cómo confirmar la ejecución, qué cruzar, y los patrones de falso positivo más frecuentes.
Cómo los atacantes suprimen, envenenan o limpian RecentFileCache.bcf — y las señales en event log, tareas programadas y sistema de archivos que los pillan en el acto.