Historial del sistema de archivos en unidades USB

Navega tus respuestas
1

Quiero saber quién eliminó un archivo específico de un disco USB.

El disco está formateado como NTFS. El archivo se eliminó mientras el disco estaba conectado a un sistema Windows 7. Sin embargo, si bien poseo el disco USB, ya no tengo acceso a ese sistema.

Utilizando técnicas forenses, con la presunción de que no se escribieron datos sobre el archivo eliminado, ¿puedo determinar quién lo eliminó? ¿Esto cambia, si hubo datos más nuevos escritos en el archivo o si el culpable intentó cubrir sus huellas de alguna manera?

    
pregunta Athanasios Kataras 08.01.2013 - 15:55
fuente

1 respuesta

3

No, no hay forma de saber quién eliminó el archivo mirando solo la memoria USB. Incluso si hubiera una manera sería muy fácil modificar el contenido de la memoria USB para enmascarar este comportamiento. Si tiene acceso a la máquina, puede configurar ventanas para registrar eventos de eliminación de archivos . Sin embargo, incluso los archivos de registro de Windows pueden modificarse.

    
respondido por el rook 08.01.2013 - 21:02
fuente

Lea otras preguntas en las etiquetas

¿Cómo ocurre el hackeo de window.w3ssss? Implementando una contraseña remota segura con una aplicación de escritorio remoto