Supponiamo che due utenti abbiano fatto un omicidio alle 18:00 a Dunkin Donuts, ho i dischi rigidi sul sito, disk1
e disk2
.
Come faccio a identificare il tempo e l'ordine delle attività di ciascun utente sui dischi rigidi?
Le comunicazioni di Gmail sono facili da scegliere, ma non riesco ad andare da nessuna parte con il resto. Posso vedere che gli utenti hanno effettuato l'accesso più volte. Posso anche vedere alcuni accessi non riusciti, il che mi fa pensare a cosa avrebbe potuto causarli sul primo disco? Il secondo disco installa ssh
e sembra che esegua hydra
, che è uno strumento di cracking della password a forza bruta. Non vedo come sarà utile per loro per un crimine fisico? Il secondo disco mostra anche l'apertura delle sessioni, quindi altre sessioni che si aprono prima di quelle aperte, il che mi fa chiedere se si tratta di una macchina remota. Non so davvero cosa sta succedendo qui, quindi non riesco a capire la cronologia ...
disk1
(più grande)
disk2