¿Cómo saber cuándo se eliminó un archivo en un sistema de archivos NTFS?

Navega tus respuestas
2

¿Es posible saber cuándo se eliminó un archivo en un sistema de archivos NTFS? Por ejemplo, si tiene el archivo en la papelera de reciclaje, tiene el archivo de metadatos que se almacena cuando se envió el archivo a la papelera de reciclaje. Sin embargo, si el archivo nunca estuvo en la papelera de reciclaje o si se vació, ¿cómo puede saber la fecha y la hora de la eliminación de un archivo?

Aunque no era posible saber la fecha y la hora exactas, ¿es posible tener un intervalo de fechas?

EDITAR: Sé que existen varias soluciones que pueden instalarse o configurarse para monitorear la eliminación de archivos, pero me refiero al caso en que recibes un HD y tienes que hacer un análisis forense. En ese caso, es probable que solo tengas lo que está instalado por defecto.

    
pregunta kinunt 16.06.2014 - 18:27
fuente

2 respuestas

3

No siempre se puede obtener una respuesta exacta en el análisis forense. A veces el resultado es un rango de tiempo de posibilidad. Dicho esto, a veces se pueden obtener respuestas exactas.

Para su escenario, depende de qué versión de Windows se usó para crear y mantener este volumen.

NTFS ha soportado durante mucho tiempo el registro por diario (registro a corto plazo) en el archivo denominado $LogFile en la raíz del volumen. No encontrará una gran cantidad de registros aquí ya que está diseñado para ser un mecanismo de recuperación, pero si obtiene el disco dentro de un cierto período de tiempo después de la acción de eliminación, tiene la posibilidad de encontrarlo allí. Muchas de las herramientas forenses (como EnCase) pueden analizar este registro, pero aquí hay una herramienta de código abierto con más información.

enlace

Si está examinando un sistema Vista o más nuevo, es posible que encuentre un registro más largo en ejecución en el disco. Este registro fue una capacidad en versiones anteriores de NTFS, pero no se habilitó de forma predeterminada hasta Vista. El archivo se llama $UsnJrnl y se encuentra en una carpeta llamada $Extend . Este archivo registra todas las acciones que suceden en un archivo: renombrar, mover, crear, eliminar, etc. Una vez más, muchas de las herramientas forenses analizarán esto, pero aquí hay un enlace de código abierto para su uso.

enlace

    
respondido por el WMIF 17.06.2014 - 17:20
fuente
2

Puedes verlo en los eventos de la computadora. Debe activar la función de auditoría en las políticas de grupo.

Esto es lo que solía hacer.

  • Tenía una red corporativa y las estaciones de trabajo estaban conectadas a un controlador de dominio (servidor 2008).
  • Tenía un servidor de archivos al que los usuarios tenían acceso (que también estaba conectado al mismo dominio).
  • Activé los registros de auditoría de una carpeta compartida en particular (a la que mis usuarios tuvieron acceso) en las políticas de grupo locales de ese servidor de archivos.
  • Entonces pude ver a cada usuario hacer operaciones de archivos mirando los códigos de evento de la computadora.

Este documento de Microsoft Technet podría ayudar

    
respondido por el Gokhan Dilek 16.06.2014 - 18:32
fuente

Lea otras preguntas en las etiquetas

¿Cómo reforzar un Firefox “dedicado”? ¿Cuál es la relación entre Suite B y FIPS 140-2?