web-dev-qa-db-ja.com

フォレンジックを行うときに、コンピューターのデバイス履歴をどのように確認できますか?

私は、調査の一部としてコンピューターから証拠を収集するプロセスについて述べているSlashdotで この投稿 を読んでいました。この投稿では、フォレンジック作業を行うときにコンピューターに接続されているデバイスの履歴を確認できること、およびどのファイルがどのデバイスに転送されたかについて言及しています。

しかし、さらに深く掘り下げていくと、オペレーティングシステムに接続されたデバイスを見ていきます。所有しているデバイスとosによって記録されたデバイスを照合します。 OSからデバイスへのファイルの移動とその後のファイルの移動の行動パターンを探します。

コンピュータフォレンジックを実行するときに、デバイスの履歴と特定のデバイスに転送されたファイルを確認することはできますか?もしそうなら、どのツールでこれを見ることができますか?

6
Sonny Ordell

私は最初の部分に答えることができます。少なくともWindows 7では、レジストリキーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTORを表示することで、USBデバイスの履歴をある程度確認できます。

コンテンツの例については、スクリーンショットを参照してください。これにより、特定のUSBデバイスが特定のコンピューターに接続されていたかどうかを確認できます。

私は誰かがUSBドライブへのファイル転送履歴を表示することを可能にするWindowsに固有のメカニズムを知りません、そして私はそれを見つけるのに非常に興味があります!

enter image description here

8
scuzzy-delta

このツール( SB DView )を使用すると、以下の回答に記載されている情報を取得し、次のように表示することで、コンピューターに接続されているUSBデバイスのリストを取得できます。 From Nirsoft.net

各USBデバイスについて、拡張情報が表示されます:デバイス名/説明、デバイスタイプ、シリアル番号(大容量ストレージデバイスの場合)、デバイスが追加された日付/時刻、ベンダーID、製品IDなど... USBDeviewでは、次のこともできます。以前に使用したUSBデバイスのアンインストール、現在コンピューターに接続されているUSBデバイスの切断、USBデバイスの無効化と有効化。

上記のソース

ファイル転送履歴の決定に関する質問の別の部分については、これは多くの事柄に依存しますが、最終的には、オペレーティングシステムは this answer に示されているように、通常、これほど多くの情報を格納しません。そのような情報をログに記録するためにシステムに変更を加えることができますが、「デフォルトで有効」ではありません。非常に短い時間で大量のディスク領域を消費するためです(数百万の小さなファイルをUSBスティックにコピーする場合、ログは記録している詳細に応じて膨大になります)。

2
NULLZ