PC mostró evidencia de que un teléfono estaba conectado sin ninguna razón obvia. Teorías sobre por qué? [cerrado]

0

La conexión a través de un escritorio remoto a una máquina con Windows 7 mostró los últimos segundos de instalación de un dispositivo con Windows y la ventana emergente "Su dispositivo está listo" para un Sony Xperia T. Al ir a las impresoras / dispositivos se mostró una imagen del teléfono. . No hay bluetooth en la PC, y no hay razón para que un dispositivo de este tipo haya sido conectado. La comprobación de los registros de conexión / desconexión del USB mostró entradas esperadas y nada relacionado con el teléfono, aunque podría haberse manipulado. Tampoco hay evidencia de ningún virus, pero la máquina necesita un análisis más forense en ese frente. Dejando de lado la explicación más obvia de que realmente se había conectado un teléfono, agradecería los pensamientos sobre posibilidades alternativas y cosas para verificar si hay pruebas.

ACTUALIZACIÓN: existe una pequeña posibilidad de que se haya conectado un teléfono hace 2 semanas, sin embargo, la máquina había iniciado sesión desde entonces y no apareció ningún mensaje de dispositivo instalado en esas ocasiones. En este caso, el diálogo se vio al iniciar sesión nuevamente, como si se hubiera conectado un dispositivo y se hubieran instalado los controladores, pero el teléfono no estaba conectado en ese momento.

ACTUALIZACIÓN2: Forensics muestra 4 teclas modificadas, incluidas las siguientes con datos que hacen referencia a un xperia al mismo tiempo que se conecta al escritorio remoto, por lo que el evento tiene algún punto de control, que parece activarse desde la conexión remota.

HKEY_CURRENT_USER \ Software \ Classes \ Local Settings \ Software \ Microsoft \ Windows \ Shell \ BagMRU \ 0 \ 3 \ 0

EDITAR: 2014 28 de enero

Como una posdata para esto, hace unos días reemplazamos la unidad en la máquina que lo puso de nuevo a principios de 2013 (habíamos copiado la unidad original en un SSD en ese momento), y Mucho antes de que posiblemente hubiera acceso no autorizado al hardware. Mirando la lista de impresoras de hoy, el teléfono fantasma volvió a aparecer, y se garantiza que no se ha conectado ninguna desde que se cambió la unidad. El único software instalado desde entonces fue Skype. Muy desconcertante.

    
pregunta Nick 11.01.2014 - 01:24
fuente

2 respuestas

2

Escritorio remoto tiene una forma de hacer que los recursos locales estén disponibles para el host remoto. No estoy seguro de si un teléfono se compartiría con el host remoto (o cómo se compartiría). Si no es otra cosa, es posible que esté disponible como dispositivo de almacenamiento USB.

En teoría, sabrías si un teléfono estuviera conectado a tu computadora local, por lo que es posible que esta posibilidad no se aplique a tu situación.

    
respondido por el poke 11.01.2014 - 19:54
fuente
1

Es muy poco probable que un servidor de Windows haya decidido simplemente imaginar que un teléfono de Sony estuviera conectado e instalar los controladores, por lo que debe asumir que un teléfono estaba realmente conectado.

Mira si puedes rastrear el dispositivo a través de WiFi. Verifique los registros de los puntos de acceso inalámbrico en el área y busque un MAC con los primeros tres bytes como OUI asignado a Sony. Puede utilizar una lista de búsqueda como enlace .

Mirando en línea, encontré un ejemplo de la dirección MAC de Sony Xperia de 30:39:26 aquí: enlace

Es posible que luego pueda correlacionar los MAC de los dispositivos de Sony para acceder a los registros de empleados, visitantes o proveedores cuando entraron y salieron de su edificio, o si tuvieron que pasar por las puertas internas.

    
respondido por el John Deters 11.01.2014 - 19:22
fuente

Lea otras preguntas en las etiquetas