¿Cómo puede ver el historial de dispositivos de una computadora cuando realiza análisis forenses?

Question

¿Cómo puede ver el historial de dispositivos de una computadora cuando realiza análisis forenses?

#1 de scuzzy-delta (8 votos)
#2 de NULLZ (1 votos)

5

Estaba leyendo esta publicación en Slashdot que habla sobre el proceso de recopilación de pruebas desde una computadora como parte de una investigación. La publicación menciona que se puede ver el historial de dispositivos conectados a una computadora cuando se realiza un trabajo forense, así como qué archivos se transfirieron a qué dispositivos:

Pero a medida que profundizamos, comenzaremos a observar los dispositivos que estaban Conectado al sistema operativo. Emparejaremos los dispositivos en nuestro Posesión con las registradas por el OS. Buscaremos comportamiento. patrones de movimientos de archivos desde el SO al dispositivo y luego de vuelta.

¿Es posible ver el historial del dispositivo y qué archivos se transfirieron a un dispositivo determinado al realizar análisis forenses informáticos? Si es así, ¿qué herramientas le permiten ver esto?

forensics

pregunta Sonny Ordell 15.03.2012 - 04:54

fuente

2 respuestas

Lea otras preguntas en las etiquetas forensics

¿De qué NO me protege una VPN? ¿Cómo puede un IPS \ IDS detectar ataques SQLi \ XSS (u otra capa de aplicación)?

score 8 · Answer 1

Puedo responder la primera parte. Al menos en Windows 7, puede ver el historial de dispositivos USB en cierta medida al ver la clave de registro: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR

Vea la captura de pantalla para un ejemplo del contenido. Esto le permitiría confirmar si un dispositivo USB en particular se ha conectado a una computadora en particular.

No tengo conocimiento de ningún mecanismo nativo de Windows que permita a alguien ver el historial de transferencia de archivos a unidades USB, ¡y me gustaría mucho saberlo!

score 1 · Answer 2

Esta herramienta ( DView USB ) le permite extraer una lista de dispositivos USB que se han conectado a la computadora en algún momento extrayendo la información mencionada en las siguientes respuestas y mostrándola simplemente así:

ParacadadispositivoUSB,semuestrainformaciónampliada:Dispositivo nombre/descripción,tipodedispositivo,númerodeserie(paraalmacenamientomasivo dispositivos),lafecha/horaenqueseagregóeldispositivo,IDdeproveedor,IDdeproducto, ymás...USBDeviewtambiénlepermitedesinstalardispositivosUSBque utilizadoanteriormente,desconectelosdispositivosUSBqueestánactualmente conectadoasucomputadora,asícomotambiénparadeshabilitaryhabilitarUSB dispositivos.

( Fuente como arriba )

Para la otra parte de su pregunta sobre cómo determinar el historial de transferencia de archivos, esto depende de varias cosas, pero en definitiva, los sistemas operativos generalmente no almacenan tanta información como se muestra en esta respuesta . Puede realizar modificaciones en su sistema para registrar dicha información, pero no está "habilitada de forma predeterminada". Supongo que el motivo es porque consumirá una gran cantidad de espacio en disco en muy poco tiempo (si copia millones de archivos pequeños en una memoria USB, los registros serán enormes dependiendo de los detalles que esté registrando).