ファイルがUSBドライブに保存またはコピーされたかどうかを検出するにはどうすればよいですか?
コンピューターのファイルがUSBストレージデバイスに書き込まれたか、コピーされたか、移動されたかどうかを確認するにはどうすればよいですか? USBアクティビティの監視/ログ記録が明示的に有効になっておらず、ファイルが既に書き込まれているシステムで機能する解決策があるかどうかを知りたいです。
レジストリの場所から情報を読み取るソフトウェアをすでに使用しています
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
ただし、ベンダー名、接続時間、その他のアーティファクトが示されるだけです。
これは、有効にしたロギングに完全に依存します。イベント後にすべてのファイルのコピーなどをログに記録するように指示するのは簡単ですが、ログに記録していなかった場合、その情報を取得することはできません。
まず、次の場所からコンピュータに接続されたデバイスに関する情報を取得してみてください
C:\Windows\inf\setupapi.dev
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB
この情報は将来の分析で必要になるため、マウントされたデバイスのキーを確認するときは特に注意してください
問題の特定のユーザーに関連付けられているNTUSER.DATファイルを分析します。 NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2に移動し、デバイスのGUIDを検索します。
モジュールII:
キーワード(問題のファイルの名前)にEncaseまたはFTK検索を使用する場合は、キーワードに関連付けられている.lnkファイルを分析します。パスとタイムスタンプを提供するFTKまたはEncaseを使用して.lnkを解析します。パスがUSBを参照している場合は、ユーザーのSID、USBシリアル番号、およびタイムスタンプ情報を照合してください。
ファイル構造に関する詳細情報を提供するMFTレコードと$ Logfileを分析することもできます。
注:.lnkファイルは、容疑者のみが問題のファイルをUSBドライブから開いて作成されます。