-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Решено возможно ли узнать серийный номер usb устройства с которого скопировали файл?
- Автор темы Zagimen
- Дата начала
-
- Теги
- помощь usb
Вам в раздел форензика про usb, я сейчас с телефона доберусь до компьютера и дополню это сообщение конкретикой через 35 минут
Код:
HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\USBSTORЕсли с флешки что то запустили то вот это прочитайте Форензика Prefetch в Windows
Опять же удобно перепроверить реестр и посмотреть если что с не запускали и сколько раз Registry Explorer Forensics Windows Registry - ntuser.dat но это сложнее
если узнать какие открывали последние файлы с флешки или для копирования на неё Форензика анализа артефактов ярлыков последних открытых файлов - artifacts lnk
Последнее редактирование:
Сам решил посмотреть xATTRs в Windows. Заявлена поддержка для NTFS, но ни одной штатной утилиты. В Mac OS можно даже узнать откуда скачан файл, его владельца и еще много чего или выполнить какой-то код при доступе к файлу(например весь антивирус Mac OS висит на xATTRs), но Windows нихрена не расскажет. Если только пробовать из под Linux получать доступ к NTFS разделу и оттуда смотреть, но мне что-то подсказывает, что там этих данных нету. По крайней мере есть NTFS-3G, который как бы поддерживает это.
Вот что можно сделать:
ntfs-3g ::
streams_interface=value This option controls how the user can access Alternate Data Streams (ADS) or in other words, named data streams. It can be set to, one of none, windows or xattr. If the option is set to none, the user will have no access to the named data streams. If it's set to windows, then the user can access them just like in Windows (eg. cat file:stream). If it's set to xattr, then the named data streams are mapped to xattrs and user can manipulate them using {get,set}fattr utilities. The default is none.
Вот что можно сделать:
ntfs-3g ::
streams_interface=value This option controls how the user can access Alternate Data Streams (ADS) or in other words, named data streams. It can be set to, one of none, windows or xattr. If the option is set to none, the user will have no access to the named data streams. If it's set to windows, then the user can access them just like in Windows (eg. cat file:stream). If it's set to xattr, then the named data streams are mapped to xattrs and user can manipulate them using {get,set}fattr utilities. The default is none.
Последнее редактирование:
Обучение наступательной кибербезопасности в игровой форме. Начать игру!