¿Cómo verifico si un usuario conectó un disco duro externo?

6

Originalmente me encontré con esto de una queja de Citadel LLC contra un ex empleado. Texto de la queja: http://www.scribd.com/doc/63606232/Citadel-vs-Yihao-Ben-Pu

De la presentación:

"Sin embargo, la evidencia forense ha confirmado que Pu también utilizó un disco duro externo de 500 gigabytes (un Western Digital Elements 1023)"

¿Cómo se puede saber realmente si un usuario conectó un disco duro externo?

security external-hard-drive logging monitoring Foo Bah
fuente
que os Dependería.
Journeyman Geek
@Journeyman Geek sí, es para Windows :)
Foo Bah

Respuestas:

5

En Windows, se almacena en el registro, generalmente HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR ingrese la descripción de la imagen aquí

También me miro setupapi.logen %windir%para el conductor se instala en sistemas anteriores a Windows 7 (se supone que es %windir%\INF\setupapi.dev.logy el% de windir%\INF\setupapi.app.log, pero las clases forenses fui a ignorado totalmente totalmente este lugar, así que no estoy totalmente familiarizado con esto) - si una el controlador está allí, y su dispositivo no está en el registro, usted sabe que algo está apagado.

Me referiría a este artículo sobre antiforesis que utilicé para refrescar mi memoria en dónde está exactamente.

Journeyman Geek
fuente
¿Hay alguna manera de insertar un dispositivo usb mientras se pasa por alto este mecanismo?
Foo Bah
@Foo Bah, no realmente. Windows necesita montar y cargar controladores para usar el dispositivo. Cuando hace esto, registra información sobre el dispositivo para que pueda cargar el dispositivo más rápido la próxima vez. Recuerde, Windows no es un sistema operativo específicamente diseñado para uso anónimo; está destinado a usuarios legítimos que esperan reutilizar sus dispositivos en sus sistemas.
Synetech
3

Si un dispositivo USB está conectado y está montado en Windows, se registra en el registro de Windows.

Puede usar USBDeview para ver cualquier dispositivo USB conectado a cualquier PC en la que lo ejecute. Extrae la información del Registro de Windows.

USBDeview es una pequeña utilidad que enumera todos los dispositivos USB que actualmente están conectados a su computadora, así como todos los dispositivos USB que utilizó anteriormente. Para cada dispositivo USB, se muestra información extendida: nombre / descripción del dispositivo, tipo de dispositivo, número de serie (para dispositivos de almacenamiento masivo), la fecha / hora en que se agregó ese dispositivo, VendorID, ProductID y más.

USBDeview también le permite desinstalar dispositivos USB que utilizó anteriormente, desconectar los dispositivos USB que están conectados actualmente a su computadora, así como deshabilitar y habilitar dispositivos USB. También puede usar USBDeview en una computadora remota, siempre que inicie sesión en esa computadora con un usuario administrador.

La única forma de evitar esto es eliminar manualmente todas las entradas del registro que se refieren a ese dispositivo específico, junto con otras ubicaciones de Windows mencionadas por Journeyman Geek. La función de desinstalación de USBDeview puede no eliminar todos los rastros del dispositivo en el registro.

Moab
fuente
esa es una herramienta muy ingeniosa!
Foo Bah