Ricerca della data dell'ultimo accesso alla rete

Naviga le tue risposte
7

Ho un sistema che contiene dati altamente sensibili che non risiedono su Internet. Tuttavia, quando stavo passando attraverso la macchina di recente, ho rilevato che aveva biscotti e file temporanei di Internet memorizzati su di esso. Mentre riesco a trovare la data in cui sono stati creati, devo essere in grado di ottenere la data dell'ultimo accesso a Internet in modo verificabile. La macchina è Windows XP e ho accesso amministrativo completo. Ho già guardato nel Visualizzatore eventi, non c'erano informazioni lì, come tali. L'ultima data di modifica per la cartella dei file temporanei Internet è di qualche anno fa, quindi non è servita nemmeno da indicazione. C'è qualche risorsa, o qualche registro, che Windows ha che può dirmi quando è avvenuta l'ultima connessione, e se possibile, come?

Nota: non si tratta di una rete aziendale o di una rete interna simile.

    
posta Karthik Rangarajan 27.07.2012 - 05:59
fonte

4 risposte

3

Un modo semplice (possibilmente verificabile) per farlo è quello di cercare i index.dat files presenti sulla macchina. Anche se l'utente elimina tutti i cookie ed elimina tutti i file temporanei e rimuove la maggior parte delle tracce di una connessione, il file index.dat viene aggiornato per riflettere questo comportamento e l'ultima data di modifica del file ci dirà quando è stata l'ultima volta utilizzato da IE e quindi fornire l'ultima data in cui è stato effettuato l'accesso a Internet.

    
risposta data 27.07.2012 - 17:16
fonte
3

Poiché l'inetgrity dell'host è in questione, passerei dall'host e guarderò ad altre fonti di dati. Scopri dove sono i tuoi record di flusso; sono Netflow, Argus, firewall build / teardowns?

Cerca nei log i risultati dal MAC di quel sistema, dall'indirizzo IP peggiore. Non dimenticare di tenere conto di tutte le interfacce sul sistema poiché la parte malintenzionata avrebbe potuto abilitare una scheda NIC non principale.

    
risposta data 29.07.2012 - 02:25
fonte
2

Non sono sicuro di quanta certezza devi avere .. se stai dicendo che la data di modifica del file non è affidabile, probabilmente hai paura della manomissione della data. L'unica cosa che mi viene in mente è controllare la cronologia nel browser che ha creato i cookie. CTRL+H in IE.

Se su questo browser macchina non viene utilizzato affatto, è possibile controllare la cartella Dati app / Dati programma / Impostazioni locali per l'ultima modifica dei file di configurazione. Oppure preferenze per il profilo utente e per il browser.

potresti avere alcuni registri nel firewall di terze parti se hai installato tale.

Sarà difficile rintracciare questo tipo di eventi se non hai preparato la macchina per tracciare / registrare le connessioni in anticipo.

    
risposta data 27.07.2012 - 10:17
fonte
1

Se qualcuno stava cercando di coprire le proprie tracce, avrebbe semplicemente cancellato i cookie e i file temporanei di Internet. Molto più facile e più efficace della modifica della data di creazione! Mi aspetto che tu possa utilizzare la data di creazione del file temporaneo più recente come data dell'ultimo accesso a Internet.

    
risposta data 27.07.2012 - 10:46
fonte

Leggi altre domande sui tag

tentativo di login forza bruta da IP falsificati Come pentestire il file Flash su webapp con alowscriptaccess = samedomain?