Fecha de búsqueda del último acceso a la red

7

Tengo un sistema que contiene datos altamente confidenciales que no residen en Internet. Sin embargo, cuando estaba revisando la máquina recientemente, detecté que tenía cookies y archivos temporales de Internet almacenados en ella. Si bien puedo encontrar la fecha en que se crearon, debo poder obtener la fecha del último acceso a Internet de manera verificable. La máquina es Windows XP, y tengo acceso administrativo completo. Ya he mirado en el Visor de eventos, no había información allí, como tal. La última fecha de modificación de la carpeta Archivos temporales de Internet es hace unos años, por lo que tampoco ha servido de indicación. ¿Hay algún recurso, o algunos registros, que Windows tenga que pueda indicarme cuándo ocurrió la última conexión y, si es posible, cómo?

Nota: Esto no está dentro de una red corporativa, ni de ninguna red interna similar.

    
pregunta Karthik Rangarajan 27.07.2012 - 05:59
fuente

4 respuestas

3

Una forma sencilla (posiblemente verificable) de hacer esto es buscar los archivos index.dat que están presentes en la maquina. Incluso si el usuario elimina todas las cookies, y elimina todos los archivos temporales, y elimina la mayoría de los rastros de una conexión, el archivo index.dat se actualiza para reflejar este comportamiento, y la última fecha de modificación del archivo nos dirá cuándo fue la última vez. utilizado por IE, y así dar la última fecha de acceso a Internet.

    
respondido por el Karthik Rangarajan 27.07.2012 - 17:16
fuente
3

Dado que la falta de información del host está en cuestión, me movería del host y observaría otras fuentes de datos. Averigua dónde están tus registros de flujo; ¿Son Netflow, Argus, firewall build / teardowns?

Busque en los registros los resultados del MAC de ese sistema, de la dirección IP del caso más desfavorable. No olvide tener en cuenta todas las interfaces en el sistema, ya que la parte maliciosa podría haber habilitado una NIC no primaria.

    
respondido por el Scott Pack 29.07.2012 - 02:25
fuente
2

No estoy seguro de cuánta certeza debe tener ... si dice que la fecha de modificación del archivo no es confiable, es probable que tenga miedo de la manipulación de la fecha. Lo único que me viene a la mente es comprobar el historial en el navegador que creó las cookies. CTRL+H en IE.

Si en este navegador de la máquina no se usa en absoluto, puede verificar en la carpeta Datos de la aplicación / Datos del programa / Configuración local la última modificación de los archivos de configuración. O perfil de usuario - > preferencias del navegador.

es posible que tenga algunos registros en el firewall de terceros si lo ha instalado.

Será difícil rastrear ese tipo de eventos si no preparó la máquina para rastrear / registrar conexiones de antemano.

    
respondido por el mnmnc 27.07.2012 - 10:17
fuente
1

Si alguien intentara cubrir sus huellas, simplemente habría eliminado las cookies y los archivos temporales de Internet. ¡Mucho más fácil y efectivo que modificar la fecha de creación! Espero que pueda utilizar la fecha de creación del archivo temporal más reciente como la fecha del último acceso a Internet.

    
respondido por el GdD 27.07.2012 - 10:46
fuente

Lea otras preguntas en las etiquetas