Категория > Новости > USB forensic battle. Выбираем инструмент для анализа подключений носителей - «Новости»
USB forensic battle. Выбираем инструмент для анализа подключений носителей - «Новости»6-11-2023, 17:08. Автор: Attwood |
Windows Registry Recovery (WRR), USB History; NirSoft USBDeview; USB Forensic Tracker; USB Detective. Также для проверки качества работы утилит после удаления признаков подключения устройств мы использовали USB Oblivion. Для оценки инструментов мы смотрим на удобство тулзы, наглядность результатов и их полноту, наличие или отсутствие дополнительных сведений. Основная задача — подобрать оптимальную программу, отличающуюся полнотой предоставляемых сведений и удобством в использовании. Читайте также - Маркировочный комплекс LPL-420 на базе углекислотного лазера представляет собой стойку с регулятором высоты со смонтированной лазерной трубкой, пятнадцати дюймовым дисплеем и блоком управления на базе промышленного компьютера - маркиратор лазерный по доступным ценам. RegeditНачнем с классики. Основная часть информации о девайсах, включая идентификаторы подключаемых устройств, хранится в системном реестре. С использованием штатной утилиты Некоторые устройства (обычно самоидентифицирующиеся, такие как CD/DVD или жесткие диски) прописываются в Для продвинутых можно посмотреть вот этот раздел: Там можно определить букву, назначенную системой подключенному устройству. Помимо этого, названия параметров содержат GUID девайса: Благодаря ему ты можешь найти учетную запись пользователя, под которой подключалось это устройство — см. раздел Или анализируй в реестре вот эту ветку: В целом просто ищи полученный GUID. Где нашелся — там и подключался. Полезная информация может встретиться и в кусте Вот еще интересный раздел: Здесь хранится информация об устройствах и связанных с ними идентификаторах файловых систем (VSN, Volume Serial Number; однако диски SSD сюда не попадают). Идентификаторы меняются после каждого форматирования — то есть ты можешь отследить историю форматирований носителя. Учти, что данный параметр (последние цифры после "_" в строке подраздела) представлен в десятичном виде, и его нужно конвертировать в HEX. Например, изучив следующий параметр: мы узнаем, что устройство с именем Это пригодится, если при изъятии отформатированной юзером флешки он скажет, что никогда ничего на носитель не копировал, да и вообще с ним не работал. В реестре же сохранена полная история в формате "серийник-VSN". Если ты предпочитаешь копаться в реестре вручную, то можешь выполнить экспорт реестра, а затем открыть его в утилите типа Registry Explorer. Там в разделе создания разделов с серийниками отображается дата их создания — то бишь дата подключения устройства. С последней, однако, часто встречаются осечки из‑за антивирусных проверок, выгрузки кустов реестра или вследствие багов операционной системы. В итоге анализ реестра может в лучшем случае дать тебе информацию о факте подключения устройства, но кто его подключал, когда и как — об этом история умалчивает. Файловая системаЗдесь классическим артефактом является файл В старых версиях винды файл назывался В качестве мини‑подсказок в файловой системе посмотри ярлыки в недавних файлах. Для этого нужно нажать Win-R и ввести Такие же подсказки есть для устройств и принтеров (Win-R, затем Промежуточный выводЕсли у тебя много времени и есть желание, в реестре можно копошиться довольно долго. Мы показали тебе скорее теорию, чем практику. Очевидно, что посмотреть таким образом даты подключения устройства не получится, а нас это не устраивает. Безопасник хочет домой, к любимому котику и платным подпискам стриминговых сервисов, помнишь? Перейти обратно к новости |