web-dev-qa-db-ja.com

ユーザーが外付けハードドライブに接続したかどうかを確認するにはどうすればよいですか?

私はもともと、元従業員に対するCitadelLLCの苦情からこれに遭遇しました。苦情のテキスト: http://www.scribd.com/doc/63606232/Citadel-vs-Yihao-Ben-P

ファイリングから:

「しかし、法医学的証拠により、Puは500ギガバイトの外付けハードドライブ(Western Digital Elements 1023)も利用していることが確認されています。」

ユーザーが外付けハードドライブに接続しているかどうかを実際に確認するにはどうすればよいですか?

securityexternal-hard-driveloggingmonitoring
6
Foo Bah

Windowsでは、レジストリに保存されます-通常はHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR enter image description here

また、Windows7より古いシステムへのドライバーのインストールについてはsetupapi.log%windir%を調べます(%windir%\INF\setupapi.dev.logおよび%windir%\INF\setupapi.app.logであるはずですが、フォレンジッククラスを使用しましたこの場所を完全に無視するので、私はこれに完全には精通していません)-ドライバーがそこにあり、そのデバイスがレジストリにない場合、何かがオフになっていることがわかります。

antiforensics に関するこの記事を参照してください。これは、正確にどこにあるかについて記憶を更新するために使用しました。

5
Journeyman Geek

USBデバイスが接続され、Windowsにマウントされている場合、それはWindowsレジストリに記録されます。

SBDeview を使用して、実行しているPCに接続されているUSBデバイスを確認できます。 Windowsレジストリから情報を取得します。

USBDeviewは、現在コンピュータに接続されているすべてのUSBデバイスと、以前に使用したすべてのUSBデバイスを一覧表示する小さなユーティリティです。各USBデバイスについて、拡張情報が表示されます:デバイス名/説明、デバイスタイプ、シリアル番号(大容量記憶装置)、デバイスが追加された日時、VendorID、ProductIDなど。

USBDeviewを使用すると、以前に使用したUSBデバイスをアンインストールしたり、現在コンピューターに接続されているUSBデバイスを切断したり、USBデバイスを無効または有効にしたりすることもできます。管理者ユーザーでそのコンピューターにログインする限り、リモートコンピューターでUSBDeviewを使用することもできます。

これを回避する唯一の方法は、Journeyman Geekが言及した他のWindowsの場所とともに、その特定のデバイスを参照するすべてのエントリをレジストリから手動で削除することです。 USBDeviewアンインストール機能は、レジストリ内のデバイスのすべてのトレースを削除しない場合があります。

3
Moab