• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Решено возможно ли узнать серийный номер usb устройства с которого скопировали файл?

Zagimen

Green Team
14.01.2018
14
1
BIT
0
Здравствуйте друзья! Может кто сможет подсказать. Есть такая ситуация - на комп был сброшен файл (документ Word), необходимо узнать информацию о флешке с которой он был скопирован. Заранее спасибо за помощь )
 

Sunnych

Mod. Forensics
Gold Team
01.06.2018
276
1 446
BIT
25
Здравствуйте друзья! Может кто сможет подсказать. Есть такая ситуация - на комп был сброшен файл (документ Word), необходимо узнать информацию о флешке с которой он был скопирован. Заранее спасибо за помощь )
Вам в раздел форензика про usb, я сейчас с телефона доберусь до компьютера и дополню это сообщение конкретикой через 35 минут
Код:
HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\USBSTOR
а тут есть прямо с примером Forensics Windows Registry с примером софта USBDeview и как раз именно с таким вопросом.
Если с флешки что то запустили то вот это прочитайте Форензика Prefetch в Windows
Опять же удобно перепроверить реестр и посмотреть если что с не запускали и сколько раз Registry Explorer Forensics Windows Registry - ntuser.dat но это сложнее
если узнать какие открывали последние файлы с флешки или для копирования на неё Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk
 
Последнее редактирование:

CyberX

Заблокирован
12.07.2018
54
34
BIT
0
Сам решил посмотреть xATTRs в Windows. Заявлена поддержка для NTFS, но ни одной штатной утилиты. В Mac OS можно даже узнать откуда скачан файл, его владельца и еще много чего или выполнить какой-то код при доступе к файлу(например весь антивирус Mac OS висит на xATTRs), но Windows нихрена не расскажет. Если только пробовать из под Linux получать доступ к NTFS разделу и оттуда смотреть, но мне что-то подсказывает, что там этих данных нету. По крайней мере есть NTFS-3G, который как бы поддерживает это.

Вот что можно сделать:


ntfs-3g ::
streams_interface=value This option controls how the user can access Alternate Data Streams (ADS) or in other words, named data streams. It can be set to, one of none, windows or xattr. If the option is set to none, the user will have no access to the named data streams. If it's set to windows, then the user can access them just like in Windows (eg. cat file:stream). If it's set to xattr, then the named data streams are mapped to xattrs and user can manipulate them using {get,set}fattr utilities. The default is none.
 
Последнее редактирование:
  • Нравится
Реакции: Сергей Попов
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!