Tengo mis manos en un sistema (una computadora portátil, un disco duro) que estuvieron bajo la custodia de un LEO durante un período de tiempo bastante significativo. La computadora portátil ejecuta Windows XP Professional, con una partición de recuperación, y el disco duro es una unidad de 2,5 gb y 40 gb que tiene un sistema de archivos NTFS
Totalmente por razones académicas, estoy pensando en obtener imágenes forenses de las unidades con una bifurcación forense de DD (estoy pensando si dcfldd ) luego trabajando en una copia de eso.
Teniendo en cuenta que tengo una idea de cuánto tiempo lleva el sistema fuera de nuestras manos, también estoy considerando montar el registro para verificar si hay dispositivos que se hayan conectado al sistema durante ese tiempo (asumiendo que no hicieron todo fuera de línea como buenos pandas) y buscar archivos que hayan sido modificados durante ese tiempo (¿hay una manera fácil de hacerlo?).
¿Me estoy perdiendo algo? ¿Hay algún otro lugar donde debería buscar?