Comment savoir si des fichiers de mon ordinateur ont été écrits/copiés/déplacés vers un périphérique de stockage USB? Je veux savoir s'il existe une solution qui fonctionnerait dans un système qui n'a pas activé de surveillance/journalisation de l'activité USB et après que les fichiers ont déjà été écrits.
J'ai déjà utilisé un logiciel qui lit les informations depuis l'emplacement du registre
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Mais il indique simplement le nom du fournisseur, l'heure de connexion et d'autres artefacts.
Cela dépendra entièrement de la journalisation que vous avez activée. Il est facile après l'événement de vous dire de consigner toutes les copies de fichiers, etc., mais si vous ne le consigniez pas, vous ne pourrez pas récupérer ces informations.
Tout d'abord, essayez d'obtenir les informations sur les périphériques qui ont été connectés à l'ordinateur à partir des emplacements suivants
C:\Windows\inf\setupapi.dev
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB
Soyez très précis lors de la vérification de la clé des appareils montés, car ces informations seront requises dans une analyse future
Analysez le fichier NTUSER.DAT associé à cet utilisateur particulier en question. Accédez à NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 et recherchez le GUID du périphérique).
Module II:
Si vous utilisez la recherche Encase ou FTK pour les mots clés (nom du fichier en question), analysez les fichiers .lnk associés au mot-clé. Analysez le .lnk en utilisant FTK ou Encase qui vous donnera le chemin et l'horodatage. Si le chemin fait référence à une clé USB, essayez de faire correspondre le SID de l'utilisateur, le numéro de série USB et les informations d'horodatage.
Vous pouvez même analyser les enregistrements MFT et $ Logfile qui vous donnent plus d'informations sur la structure du fichier.
Remarque: les fichiers .lnk seront créés uniquement si le suspect ouvre le fichier en question à partir de la clé USB.