Tengo el siguiente problema de seguridad. Se encontró un archivo comprimido de correos electrónicos en una máquina (A) usando un programa de recuperación. La afirmación realizada por el sujeto de la investigación es que hicieron el archivo en otra máquina (B) para transferir archivos A A desde B. La administración sospecha que el archivo se realizó en A con el fin de sacar una copia del sitio.
¿Hay alguna manera de probar que el archivo fue o no fue creado en A? Esto es XP Professional.
NTFS puede marcar archivos con "información de zona" en una secuencia oculta asociada con el archivo. Si el archivo se creó en una zona diferente (como se define en las zonas de IE), es posible que la integración de IE + Windows Explorer presente en Windows pueda ser de su interés.
No estoy seguro de si 1) la información de la zona contiene información sobre el equipo de origen, o 2) si esa información de la zona se recuperó de su utilidad de recuperación
No he explorado personalmente este detalle de la información de la zona más allá de esto, pero le agradecería que compartiera sus conocimientos.
Si se afirmó que el ZIP se creó en el sistema B, el sistema es accesible y no sucedió hace mucho tiempo, cree una imagen forense de dicho sistema B. Si no contiene rastros del archivo ZIP ( y los archivos originales), probablemente no fue creado allí. Si está allí, verifique las marcas de tiempo, registros, etc. para intentar averiguar dónde estaba el archivo primero.
Pregúnteles exactamente cuándo, dónde y cómo crearon el archivo, luego refuten tantas partes de la historia como sea posible. El archivo fue creado el año pasado? Entonces, ¿por qué contiene marcas de tiempo de este año? El archivo fue creado con WinRAR en la máquina B? Entonces, ¿por qué no hay rastro de WinRAR en dicha máquina y por qué el archivo está estructurado como el formato X, que coincide con lo que crea 7zip, y no en absoluto como WinRAR?
Mirando solo el archivo ZIP, casi seguro que no. Los archivos ZIP no incluyen información interesante como la computadora en la que se creó o el programa utilizado para crear el archivo ZIP.
Ahora, si el archivo ZIP se creó con una función disponible en el programa ZIP en la computadora A que no existe en la computadora B, es posible que tenga alguna evidencia. Por ejemplo, si el archivo ZIP utiliza el cifrado AES256 pero la Computadora B solo tiene Windows y no un programa ZIP de terceros, entonces es probable que la ZIP no se haya creado en la Computadora B. (Pero no olvide que el programa ZIP podría vivir en cualquier lugar de la red, pero se ejecutará en la computadora B.)
Lea otras preguntas en las etiquetas windows