ENCASE Forensic: Detecta si alguien ejecutó CCleaner o el software CleanUp

1

Tengo Encase. y me gustaría saber dónde puedo encontrar si alguien ejecutó el software CCleaner Or CleanUp para borrar pruebas.

    
pregunta jaspher 25.05.2015 - 17:05
fuente

2 respuestas

3

Puede consultar las entradas de registro UserAssist para cada usuario (ubicadas en HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist ), o revisar los archivos prefetch (ubicados en %SystemRoot%\Prefetch ).

Ambos mantienen una lista de los programas ejecutados en la máquina, incluida la última vez que se ejecutaron y el número de veces que se ejecutó dicho programa.

Lectura adicional:

respondido por el Wolfer 25.05.2015 - 17:22
fuente
0

Algunas veces la falta de evidencias es evidencia en sí misma. Si encuentra sectores con absolutamente nada en ellos, es posible que se hayan utilizado las herramientas de limpieza. Casi todos los discos habrán dejado datos en los sectores no utilizados. Es posible que pueda usar este método para determinar si se eliminaron grandes porciones de datos.

    
respondido por el Brian Cain 25.05.2015 - 17:40
fuente

Lea otras preguntas en las etiquetas