¿Cómo detectar si los archivos se guardaron o copiaron en una unidad USB?

Navega tus respuestas
5

¿Cómo puedo saber si los archivos de mi computadora fueron escritos / copiados / movidos a un dispositivo de almacenamiento USB? Quiero saber si hay una solución que funcione en un sistema que no tenga habilitado explícitamente el monitoreo / registro de la actividad del USB y después de que los archivos ya se hayan escrito.

Ya he usado un software que lee la información de la ubicación del registro

  

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR

Pero solo indica el nombre del proveedor, la hora conectada y otros artefactos.

    
pregunta Saladin 27.10.2012 - 14:02
fuente

3 respuestas

12

Esto dependerá completamente de qué registro haya habilitado. Después del evento, es fácil decirle que registre todas las copias de archivos, etc., pero si no lo estaba logrando, no podrá recuperar esa información.

    
respondido por el Rory Alsop 27.10.2012 - 15:52
fuente
6

Primero, intente obtener la información sobre los dispositivos que se conectaron a la computadora desde las siguientes ubicaciones 

C:\Windows\inf\setupapi.dev

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR 
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB

Sea muy concreto al verificar la clave de los dispositivos montados, ya que esta información será necesaria en un análisis futuro

Analice el archivo NTUSER.DAT asociado a ese usuario en particular en cuestión. Vaya a NTUSER.DAT \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2 y busque el GUID del dispositivo.

Módulo II:

Si utiliza Encase o FTK para buscar palabras clave (nombre del archivo en cuestión), analice los archivos .lnk asociados con la palabra clave. Analice el .lnk usando FTK o Encase que le dará la ruta y la marca de tiempo. Si la ruta se refiere a un USB, intente hacer coincidir el SID, el número de serie del USB y la información de marca de tiempo del usuario.

Incluso puedes analizar registros MFT y $ Logfile que te dan más información sobre la estructura del archivo.

Nota: los archivos .lnk se crearán solo si el sospechoso abre el archivo en cuestión desde la unidad USB.

    
respondido por el Fred 10.12.2012 - 09:24
fuente
-2

Actualización 9-21-2013

Si aún está investigando esto o si desea volver a él, es posible que le interese escuchar el Podcast de CyberSpeak escuchar sobre la investigación de un investigador forense / firma. Le sugiero que escuche todo el episodio, pero si desea comprobar su relevancia, creo que alrededor de las 22: 00/23: 00 dicen algunos puntos que son relevantes para su esfuerzo.

La herramienta, llamada Registry Recon , es una herramienta comercial y no puedo responder por ella ya que todavía no la he usado. Perseguir eso bajo su propio riesgo; sin embargo, señalaré el punto de viñeta en las notas de la versión .

  

"[..] Informa sobre dispositivos de almacenamiento USB (ver cuándo se conectaron con el tiempo!) y RecentDocs"

Aclaraciones sobre la publicación original

He dejado la publicación original exactamente como estaba, pero me gustaría decir que nunca tuve la intención de criticar ningún producto comercial ni tengo la intención de promocionarme a mí mismo ni a los productos de terceros que menciono.

No me disculpo por mi sentido del humor, pero lamento la posibilidad de ofender a alguien. No es importante lo que pienses de mí; más bien es importante para mí respetar la cultura y el comportamiento de este foro. Respeto a la comunidad aquí y por eso me disculpo.

Gracias de nuevo, @Gilles , por sus comentarios.

Publicación original

Miré una oferta comercial llamada "Spector 360" que hablaba de este escenario exacto. Como puede imaginar, es necesario que los agentes estén instalados en cada computadora monitoreada. Honestamente, no estaba contento con el impacto del sistema que los agentes tuvieron en el rendimiento del sistema. La habilitación de la auditoría / registro también tiene un impacto en el rendimiento del sistema. Esto se espera de casi cualquier solución que esté disponible para abordar el escenario que está describiendo.

Antes de encontrarme con Spector 360, conocía una Herramienta de administración remota (RAT) que los criminales utilizaban en pequeña medida. La compañía que lo crea es legítima y no fue necesariamente responsable de las acciones de los delincuentes; mi punto es que hay muchas aplicaciones RAT / Spyware / Monitoring que proporcionarán la funcionalidad necesaria para lograr lo que deseas. Sin embargo, debe esperar que la fricción de AV esté instalada en esos sistemas, sin importar cuán legítima sea la compañía que haya creado la aplicación. Todos son capaces de ser utilizados con malevolencia.

En cuanto a la búsqueda forense de pruebas ... tal vez, pero eso es una posibilidad remota. Realmente no contaría con ello. Se crearían artefactos si las condiciones del sistema fueran correctas. Esos artefactos también se erosionarían de acuerdo con las condiciones, el uso y el tiempo del sistema desde el evento.

¿Estás intentando para determinar si te han robado algunos archivos o simplemente te lo estás preguntando? Si es lo último, entonces realmente debería dirigir su atención hacia las soluciones de registro / auditoría. Si su mano ha sido forzada, debe matar a quien sospeche que haya robado los archivos antes de que puedan distribuirlos / entregarlos. Empujar el suelo y las áreas circundantes al suelo daría un poco más de seguridad de que los datos robados fueron destruidos.

Por supuesto, mi última sugerencia es ilegal y solo estoy bromeando acerca de cómo llevar a cabo medidas tan drásticas. Si crees que has tenido una brecha de seguridad y quieres hablar con alguien, puedes contactarme y pasaré algún tiempo ayudándote tanto como pueda.

    
respondido por el GuyHoozdis 29.10.2012 - 00:06
fuente

Lea otras preguntas en las etiquetas

Comprobando el parámetro "devolver" en la página de inicio de sesión ¿Hay alguna forma de prevenir (o castigar) el abuso de las redes de anonimato? [cerrado]