PC ha mostrato la presenza di un telefono collegato senza alcun motivo apparente. Teorie sul perché? [chiuso]

Naviga le tue risposte
0

Il collegamento tramite desktop remoto a una macchina Windows 7 ha mostrato l'ultimo paio di secondi di installazione di un dispositivo Windows e il popup "Il tuo dispositivo è pronto" per un Sony Xperia T. Passando a stampanti / dispositivi è stata mostrata un'immagine del telefono . Non c'è bluetooth sul PC, e non c'è motivo per cui un dispositivo del genere sia stato collegato. Controllando i log di collegamento / scollegamento USB sono state mostrate le voci previste e nulla riguardo al telefono, anche se ciò potrebbe essere stato manomesso. Non ci sono prove di alcun virus, ma la macchina ha bisogno di più analisi forensi su quel fronte. Mettendo da parte la spiegazione più ovvia che un telefono fosse stato realmente collegato, sarei felice di avere pensieri su possibili alternative e cose da controllare per qualsiasi prova.

AGGIORNAMENTO: c'è una sottile possibilità che un telefono sia stato collegato 2 settimane fa, tuttavia la macchina è stata registrata da allora, e in quelle occasioni non è apparso alcun messaggio di installazione del dispositivo. In questo caso la finestra di dialogo è stata vista al punto di nuovo accesso, proprio come se un dispositivo fosse stato collegato e i driver si fossero installati da soli, ma un telefono non era sicuramente connesso in quel momento.

UPDATE2: Forensics mostra 4 chiavi modificate, incluse le seguenti con i dati che fanno riferimento a un xperia nello stesso momento in cui il desktop remoto si connette, quindi c'è qualche handle sull'evento, che sembra essere attivato dalla connessione remota.

HKEY_CURRENT_USER \ Software \ Classes \ Impostazioni locali \ Software \ Microsoft \ Windows \ Shell \ BagMRU \ 0 \ 3 \ 0

EDIT: 2014 28 gennaio

Come post scriptum di questo, pochi giorni fa abbiamo sostituito l'unità nella macchina che la riportava a come era all'inizio del 2013 (avevamo copiato l'unità originale su un SSD in quel momento), e molto prima c'era l'accesso non autorizzato all'hardware. Guardando l'elenco delle stampanti oggi, il telefono fantasma è apparso di nuovo, ed è garantito che uno non è stato collegato da quando l'unità è stata commutata. L'unico software installato da quando era Skype. Molto mistificante.

    
posta Nick 11.01.2014 - 01:24
fonte

2 risposte

2

Desktop remoto ha un modo per rendere disponibili le risorse locali all'host remoto. Non sono sicuro che un telefono possa essere condiviso con l'host remoto (o come sarebbe condiviso). Se non altro, è concepibile che sia reso disponibile come dispositivo di archiviazione USB.

In teoria, avresti saputo se un telefono è stato collegato al tuo computer locale, quindi questa possibilità potrebbe non essere applicabile alla tua situazione.

    
risposta data 11.01.2014 - 19:54
fonte
1

È altamente improbabile che un server Windows abbia appena deciso di immaginare un telefono Sony collegato e di installare i driver, quindi è necessario presumere che un telefono sia effettivamente connesso.

Verifica se è possibile rintracciare il dispositivo tramite WiFi. Controlla i log per i punti di accesso wireless nell'area e cerca un MAC con i primi tre byte che sono assegnati a OUI a Sony. Puoi utilizzare un elenco ricercabile come link .

Guardando online, ho trovato un esempio di indirizzo Sony Xperia MAC di 30:39:26 qui: link

Potresti quindi essere in grado di correlare i MAC dei dispositivi Sony per accedere ai registri di dipendenti, visitatori o fornitori non appena sono entrati ed usciti dal tuo edificio o se hanno dovuto contrassegnare le porte interne.

    
risposta data 11.01.2014 - 19:22
fonte

Leggi altre domande sui tag

Richiesta di certificato: perché il richiedente deve creare una chiave privata? Come può essere verificato un aggiornamento critico della sicurezza di Adobe Acrobat, disponibile solo come eseguibile senza segno su HTTP semplice?