Come si può vedere la cronologia del dispositivo di un computer quando si fa la scientifica?

Question

Come si può vedere la cronologia del dispositivo di un computer quando si fa la scientifica?

#1 da (8 voti)
#2 da (1 voti)

5

Stavo leggendo questo post su Slashdot che parla del processo di raccolta delle prove da un computer come parte di un'indagine. Il post menziona il fatto di poter vedere la cronologia dei dispositivi collegati a un computer quando si fa il lavoro forense, nonché quali file sono stati trasferiti su quali dispositivi:

But as we dig deeper, we'll begin to look at devices that were connected to the operating system. We'll match up the devices in our possession with the ones recorded by the os. We'll look for behavioral patterns of file movements from the OS to the device and then back.

È possibile vedere la cronologia del dispositivo e quali file sono stati trasferiti su un determinato dispositivo quando si eseguono analisi forensi? Se sì, quali strumenti ti permettono di vedere questo?

forensics

posta Sonny Ordell 15.03.2012 - 04:54

fonte

2 risposte

Leggi altre domande sui tag forensics

Di cosa non mi protegge un VPN? Sistema per l'autenticazione reciproca e la riservatezza

score 8 · Answer 1

Posso rispondere alla prima parte. Almeno su Windows 7, è possibile visualizzare la cronologia dei dispositivi USB in una certa misura visualizzando la chiave di registro: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR

Vedi lo screenshot per un esempio del contenuto. Ciò consentirebbe di confermare se un particolare dispositivo USB fosse stato collegato a un determinato computer.

Non sono a conoscenza di alcun meccanismo nativo di Windows che consentirebbe a qualcuno di visualizzare la cronologia dei trasferimenti di file su unità USB, e sarei molto interessato a scoprirlo!

score 1 · Answer 2

Questo strumento ( DView USB ) ti consente di estrarre un elenco di dispositivi USB che sono stati allegati al computer a un certo punto estraendo le informazioni indicate nelle risposte di seguito e mostrandole semplicemente in questo modo:

ForeachUSBdevice,extendedinformationisdisplayed:Devicename/description,devicetype,serialnumber(formassstoragedevices),thedate/timethatdevicewasadded,VendorID,ProductID,andmore...USBDeviewalsoallowsyoutouninstallUSBdevicesthatyoupreviouslyused,disconnectUSBdevicesthatarecurrentlyconnectedtoyourcomputer,aswellastodisableandenableUSBdevices.

( Sorgente come sopra )

Per l'altra parte della tua domanda su come determinare la cronologia dei trasferimenti di file, questo dipende da un certo numero di cose, ma in pratica, i sistemi operativi generalmente non memorizzano molte informazioni come mostrato in questa risposta . È possibile apportare modifiche al proprio sistema per registrare tali informazioni, ma non è abilitato per impostazione predefinita. Presumo che la ragione sia perché consumerebbe un'enorme quantità di spazio su disco in un tempo molto breve (se copi milioni di piccoli file su una chiavetta USB, i log saranno enormi a seconda dei dettagli che stai registrando).