如何检查用户是否连接了外置硬盘?
Foo*_*Bah 6 security monitoring logging external-hard-drive
我最初是从 Citadel LLC 对一名前雇员的投诉中了解到这一点的。投诉文本:http : //www.scribd.com/doc/63606232/Citadel-vs-Yihao-Ben-Pu
从备案:
“然而,法医证据证实,Pu 还使用了 500 GB 的外置硬盘(西部数据 Elements 1023)”
如何真正确定用户是否连接了外部硬盘驱动器?
在 Windows 上,它存储在注册表中 - 通常 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 
我还会在Windows 7 之前的系统setupapi.log上%windir%查看驱动程序安装(它应该是%windir%\INF\setupapi.dev.log% windir%\INF\setupapi.app.log,但我去的取证类完全忽略了这个位置,所以我不完全熟悉这个) - 如果驱动程序在那里,它的设备不在注册表中,你知道有些东西是关闭的。
我会向您推荐这篇关于反取证的文章,我曾经用它来刷新我对它的确切位置的记忆。
| 归档时间: |
|
| 查看次数: |
21815 次 |
| 最近记录: |