Supongamos que dos usuarios cometieron un asesinato a las 6 pm en Dunkin Donuts, tengo los discos duros en el sitio, disk1
y disk2
.
¿Cómo identifico el tiempo y el orden de las actividades de cada usuario en los discos duros?
Las comunicaciones de Gmail son fáciles de captar, pero no estoy llegando a ninguna parte con el resto. Puedo ver que los usuarios iniciaron sesión varias veces. También puedo ver algunos inicios de sesión fallidos, lo que me hace preguntarme qué pudo haberlos causado en el primer disco. El segundo disco instala ssh
y parece que se ejecuta hydra
, que es una herramienta de descifrado de contraseñas de fuerza bruta. ¿No veo cómo les será útil para un crimen físico? El segundo disco también muestra las sesiones que se abren, luego otras sesiones que se abren antes de que se cierren las abiertas, lo que me hace preguntarme si se trata de una máquina remota. Realmente no sé qué está pasando aquí, así que no puedo entender la línea de tiempo ...
disk1
(más grande)
disk2