Tengo Encase. y me gustaría saber dónde puedo encontrar si alguien ejecutó el software CCleaner Or CleanUp para borrar pruebas.
Puede consultar las entradas de registro UserAssist para cada usuario (ubicadas en HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist ), o revisar los archivos prefetch (ubicados en %SystemRoot%\Prefetch ).
Ambos mantienen una lista de los programas ejecutados en la máquina, incluida la última vez que se ejecutaron y el número de veces que se ejecutó dicho programa.
Lectura adicional:
Algunas veces la falta de evidencias es evidencia en sí misma. Si encuentra sectores con absolutamente nada en ellos, es posible que se hayan utilizado las herramientas de limpieza. Casi todos los discos habrán dejado datos en los sectores no utilizados. Es posible que pueda usar este método para determinar si se eliminaron grandes porciones de datos.