Como verifico se um usuário conectou um disco rígido externo?

6

Originalmente, deparei-me com uma queixa da Citadel LLC contra um ex-funcionário. Texto da reclamação: http://www.scribd.com/doc/63606232/Citadel-vs-Yihao-Ben-Pu

Do arquivo:

"As evidências forenses confirmaram, no entanto, que Pu também utilizava um disco rígido externo de 500 gigabytes (Western Digital Elements 1023)"

Como descobrir se um usuário conectou um disco rígido externo?

security external-hard-drive logging monitoring Foo Bah
fonte
o que os? isso dependeria.
Journeyman Geek
@Journeyman Geek, sim, a sua para janelas :)
Foo Bah

Respostas:

5

No Windows, é armazenado no registro - geralmente HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR insira a descrição da imagem aqui

Eu também olhar setupapi.logsobre %windir%para o motorista instala em sistemas mais velhos do que o Windows 7 (seu suposto ser %windir%\INF\setupapi.dev.loge% windir%\INF\setupapi.app.log, mas os forense aulas fui para ignorou totalmente totalmente este local, então eu não estou totalmente familiarizado com este) - se um driver está lá, e seu dispositivo não está no registro, você sabe que algo está errado.

Eu o remeteria a este artigo sobre antiforensics, que eu usei para refrescar minha memória onde exatamente está.

Journeyman Geek
fonte
existe uma maneira de inserir um dispositivo usb enquanto ignora esse mecanismo?
Foo Bah
@ Foo Bah, na verdade não. O Windows precisa montar e carregar drivers para usar o dispositivo. Ao fazer isso, ele registra informações sobre o dispositivo para poder carregá-lo mais rapidamente na próxima vez. Lembre-se, o Windows não é um sistema operacional projetado especificamente para uso anônimo; destina-se a usuários legítimos que esperam reutilizar seus dispositivos em seus sistemas.
Synetech 02/02
3

Se um dispositivo USB estiver conectado e montado no Windows, ele será gravado no registro do Windows.

Você pode usar o USBDeview para ver qualquer dispositivo USB já conectado a qualquer PC em que o executa. Ele puxa as informações do Registro do Windows.

O USBDeview é um pequeno utilitário que lista todos os dispositivos USB conectados atualmente ao seu computador, bem como todos os dispositivos USB usados ​​anteriormente.Para cada dispositivo USB, são exibidas informações estendidas: Nome / descrição do dispositivo, tipo de dispositivo, número de série dispositivos de armazenamento em massa), a data / hora em que o dispositivo foi adicionado, VendorID, ProductID e muito mais.

O USBDeview também permite desinstalar os dispositivos USB usados ​​anteriormente, desconectar os dispositivos USB atualmente conectados ao seu computador, além de desativar e ativar os dispositivos USB. Você também pode usar o USBDeview em um computador remoto, desde que faça login no computador com o usuário administrador.

A única maneira de contornar isso é remover manualmente todas as entradas do registro que se referem a esse dispositivo específico, juntamente com outros locais do Windows mencionados pelo Journeyman Geek. O recurso de desinstalação do USBDeview pode não remover todos os vestígios do dispositivo no registro.

Moab
fonte
essa é uma ferramenta muito bacana!
Foo Bah