Comment détecter si des fichiers ont été enregistrés ou copiés sur une clé USB?

Tout d'abord, essayez d'obtenir les informations sur les périphériques qui ont été connectés à l'ordinateur à partir des emplacements suivants

C:\Windows\inf\setupapi.dev

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR 
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB

Soyez très précis lors de la vérification de la clé des appareils montés, car ces informations seront requises dans une analyse future

Analysez le fichier NTUSER.DAT associé à cet utilisateur particulier en question. Accédez à NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 et recherchez le GUID du périphérique).

Module II:

Si vous utilisez la recherche Encase ou FTK pour les mots clés (nom du fichier en question), analysez les fichiers .lnk associés au mot-clé. Analysez le .lnk en utilisant FTK ou Encase qui vous donnera le chemin et l'horodatage. Si le chemin fait référence à une clé USB, essayez de faire correspondre le SID de l'utilisateur, le numéro de série USB et les informations d'horodatage.

Vous pouvez même analyser les enregistrements MFT et $ Logfile qui vous donnent plus d'informations sur la structure du fichier.

Remarque: les fichiers .lnk seront créés uniquement si le suspect ouvre le fichier en question à partir de la clé USB.