Cronologia del file system su unità USB

Naviga le tue risposte
1

Voglio scoprire chi ha cancellato un file specifico da un disco USB.

Il disco è formattato come NTFS. Il file è stato eliminato mentre il disco era collegato a un sistema Windows 7. Tuttavia, mentre sono in possesso del disco USB, non ho più accesso a quel sistema.

Utilizzando tecniche forensi, con la presunzione che nessun dato è stato scritto sul file cancellato, è possibile per me determinare chi l'ha cancellato? Questo cambia, se ci sono dati più recenti scritti sul file o se il colpevole ha tentato di coprire le sue tracce in qualche modo?

    
posta Athanasios Kataras 08.01.2013 - 15:55
fonte

1 risposta

3

No, non c'è modo di sapere chi ha cancellato il file guardando solo la penna USB. Anche se ci fosse un modo sarebbe molto facile modificare il contenuto della chiavetta USB per mascherare questo comportamento. Se hai accesso alla macchina, puoi configura le finestre per registrare gli eventi di cancellazione dei file . Tuttavia, anche i file di registro di Windows possono essere modificati.

    
risposta data 08.01.2013 - 21:02
fonte

Leggi altre domande sui tag

Qualcuno sa del traffico UDP sulla porta sorgente 26221? E 'possibile rilevare un dispositivo usando una connessione 3G?