Ciertamente así es. Si sus máquinas funcionan en el entorno de Windows, esto es lo que puede hacer para saber cuándo, qué, cuánto tiempo, cuántas veces se insertó un pendrive y se accedió a él en una máquina.
- El USBSTOR ubicado en la colmena SYSTEM ( SYSTEMCurrentControlSetEnumUSBSTOR ) USBSTOR contiene detalles sobre el proveedor y la marca del dispositivo USB conectado, junto con el número de serie del dispositivo que se puede utilizar para que coincida con la letra de unidad montada, el usuario y el primero y el último conectado tiempos del dispositivo.
- La tecla MountedDevices ( SYSTEMMountedDevices ) permite a los investigadores hacer coincidir el número de serie con una letra de unidad o volumen dado que se montó cuando se insertó el dispositivo USB. Es posible que el investigador no pueda identificar la letra de la unidad si se han agregado varios dispositivos USB, ya que la letra de unidad asignada solo muestra el número de serie del dispositivo montado más recientemente para cada letra asignada.
- La clave MountPoints2 que se encuentra en la sección NTUSER.dat de un usuario ( NTUSER.datSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 ) Esta información revelará qué usuario inició sesión y estuvo activo cuando se conectó el dispositivo USB. MountPoints2 enumera todos los GUID de dispositivo que un usuario en particular conectó, por lo que es posible que deba buscar a través de cada sección NTUSER.dat en el sistema para identificar qué usuario conectó un dispositivo en particular.
- La clave USB en la sección SYSTEM ( SYSTEMCurrentControlSetEnumUSB ) Esta clave proporciona a los investigadores la identificación del proveedor y del producto para un dispositivo determinado, pero también proporciona la última vez que el dispositivo USB se conectó al sistema. Utilizando el último tiempo de escritura para la clave del número de serie del dispositivo, los investigadores pueden identificar la última vez que se conectó.
- El registro de setupapi ( ROOTWindowsinfsetupapi.dev.log para Windows Vista / 7/8 ) (ROOTWindowssetupapi.log para Windows XP) La búsqueda del número de serie en este archivo proporcionará a los investigadores información sobre cuándo el dispositivo se conectó por primera vez al sistema en local. hora. Los examinadores deben tener precaución, ya que a diferencia de las otras marcas de tiempo mencionadas en este artículo que se almacenan en UTC, setupapi.log almacena sus datos en la hora local del sistema y debe convertirse a UTC para que coincida correctamente con cualquier análisis de línea de tiempo que realice el investigador. [1]
También hay algunas herramientas forenses que pueden analizar e informar automáticamente el historial del dispositivo y todos los demás detalles, como Internet Evidence Finder (IEF), Harlan Carvey’s RegRipper, AccessData’s Registry Viewer.
Una búsqueda rápida en Google también puede arrojar resultados para sistemas Linux.
- En los enrutadores, ¿es posible bloquear todas las conexiones LAN mientras se permite una conexión a Internet?
- ¿Cómo configuro una excelente red de área local con acceso a internet? ¿Cómo mantengo a todos en línea?
- Tengo un módem y un enrutador. Me conecto al puerto LAN del módem al puerto WAN del enrutador. ¿Cómo puedo usar Internet cuando me conecto al segundo enrutador?
- Si tanto Wifi como Bluetooth funcionan con una frecuencia de 2,4 ghz, ¿qué los hace diferentes?
- ¿Los enrutadores dejarán de admitir servidores web LAN y los servidores web lan dejarán de admitir PHP?
Espero que esto ayude.
Saludos,
Raghav
[1] => Fuente: Cómo analizar el historial del dispositivo USB en Windows
