En busca de signos de análisis forense - Suponiendo que no hicieron lo más inteligente

10

Tengo mis manos en un sistema (una computadora portátil, un disco duro) que estuvieron bajo la custodia de un LEO durante un período de tiempo bastante significativo. La computadora portátil ejecuta Windows XP Professional, con una partición de recuperación, y el disco duro es una unidad de 2,5 gb y 40 gb que tiene un sistema de archivos NTFS

Totalmente por razones académicas, estoy pensando en obtener imágenes forenses de las unidades con una bifurcación forense de DD (estoy pensando si dcfldd ) luego trabajando en una copia de eso.

Teniendo en cuenta que tengo una idea de cuánto tiempo lleva el sistema fuera de nuestras manos, también estoy considerando montar el registro para verificar si hay dispositivos que se hayan conectado al sistema durante ese tiempo (asumiendo que no hicieron todo fuera de línea como buenos pandas) y buscar archivos que hayan sido modificados durante ese tiempo (¿hay una manera fácil de hacerlo?).

¿Me estoy perdiendo algo? ¿Hay algún otro lugar donde debería buscar?

    
pregunta Faileas Grey 29.09.2011 - 02:28
fuente

1 respuesta

5

Puede comenzar a echar un vistazo a Forensic Toolkit para examinar el sistema de archivos NTFS. .

En la misma página hay herramientas para jugar con la papelera, IE, etc.

Acerca del registro, eche un vistazo a this y this , encontrará alguna indicación de herramientas interesantes.

    
respondido por el woliveirajr 30.09.2011 - 19:54
fuente

Lea otras preguntas en las etiquetas