La prueba 17 y 18 trataba sobre un empleado desleal que conectó un pendrive y se llevó información confidencial del ordenador del jefe.
Las preguntas que nos hacían eran las siguientes:
¿Podrías decirnos la primera fecha/hora en que conectó ese pendrive?
¿Podrías decirnos la última fecha/hora en que conectó ese pendrive?
Información adicional:
Esto sucedió entre el 7/08/2015.
Formato Respuesta: DD/MM/YYYY HH:MM:SS
Descarga Forense: https://mega.nz/#!cFQiTA6K!DYQioKcqHZPFX7T6BLU8hYwHAjH1SS6ulwSYCpbYZ68
Archivo Relacionado: SYSTEM
Como en este caso todo lo que pedían era relacionado con el pendrive en lugar de buscar en el registro utilicé una herramienta de www.nirsoft.net que se llama USBDeview.
Esta herramienta nos sirve para ver información sobre los dispositivos conectados al sistema pero también tiene la opción de cargar un fichero de registro, que es nuestro caso, y para ello hay que ejecutarlo desde la línea de comandos.
USBDeview.exe /regfile SYSTEM
En la captura de pantalla podemos ver todos los dispositivos que se han conectado al sistema que estamos analizando. Sólo uno de ellos se ha conectado el 7/08/2015 por lo que ese tiene que ser el que buscamos.
La primera fecha en la que se conectó el pendrive es la que marca la columna Created Date y la ultima fecha en que se conectó es la que marca la columna Last Plug/Unplug Date con lo que ya tenemos la respuesta a las dos preguntas que nos hacían.
En la prueba 16 si no recuerdo mal nos pedían el numero de serie del pendrive, que también se puede ver en la captura.
Y con esto hemos terminado, hasta la próxima.
0 comentarios:
Publicar un comentario