web-dev-qa-db-fra.com

Comment détecter si des fichiers ont été enregistrés ou copiés sur une clé USB?

Comment savoir si des fichiers de mon ordinateur ont été écrits/copiés/déplacés vers un périphérique de stockage USB? Je veux savoir s'il existe une solution qui fonctionnerait dans un système qui n'a pas activé de surveillance/journalisation de l'activité USB et après que les fichiers ont déjà été écrits.

J'ai déjà utilisé un logiciel qui lit les informations depuis l'emplacement du registre

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Mais il indique simplement le nom du fournisseur, l'heure de connexion et d'autres artefacts.

8
Saladin

Cela dépendra entièrement de la journalisation que vous avez activée. Il est facile après l'événement de vous dire de consigner toutes les copies de fichiers, etc., mais si vous ne le consigniez pas, vous ne pourrez pas récupérer ces informations.

13
Rory Alsop

Tout d'abord, essayez d'obtenir les informations sur les périphériques qui ont été connectés à l'ordinateur à partir des emplacements suivants

C:\Windows\inf\setupapi.dev

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR 
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB

Soyez très précis lors de la vérification de la clé des appareils montés, car ces informations seront requises dans une analyse future

Analysez le fichier NTUSER.DAT associé à cet utilisateur particulier en question. Accédez à NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 et recherchez le GUID du périphérique).

Module II:

Si vous utilisez la recherche Encase ou FTK pour les mots clés (nom du fichier en question), analysez les fichiers .lnk associés au mot-clé. Analysez le .lnk en utilisant FTK ou Encase qui vous donnera le chemin et l'horodatage. Si le chemin fait référence à une clé USB, essayez de faire correspondre le SID de l'utilisateur, le numéro de série USB et les informations d'horodatage.

Vous pouvez même analyser les enregistrements MFT et $ Logfile qui vous donnent plus d'informations sur la structure du fichier.

Remarque: les fichiers .lnk seront créés uniquement si le suspect ouvre le fichier en question à partir de la clé USB.

7
Fred