我在 Slashdot 上阅读了这篇文章,其中谈到了作为调查的一部分从计算机收集证据的过程。该帖子提到在进行取证工作时能够查看连接到计算机的设备的历史记录,以及哪些文件被传输到了哪些设备:
但随着我们深入挖掘,我们将开始研究连接到操作系统的设备。我们会将我们拥有的设备与操作系统记录的设备进行匹配。我们将寻找文件从操作系统到设备然后返回的行为模式。
进行计算机取证时是否可以查看设备历史记录以及哪些文件已传输到给定设备?如果是这样,哪些工具可以让您看到这一点?
取证时如何查看计算机的设备历史记录?
信息安全
取证
2021-09-10 20:15:52
2个回答
我可以回答第一部分。至少在 Windows 7 上,您可以通过查看注册表项在一定程度上查看 USB 设备历史记录:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
有关内容示例,请参阅屏幕截图。这将允许您确认特定 USB 设备是否已连接到特定计算机。
我不知道有任何 Windows 原生机制允许某人查看到 USB 驱动器的文件传输历史记录,我很想知道!
此工具 ( USB DView ) 允许您通过提取以下答案中提到的信息并简单地显示它来提取在某个阶段已连接到计算机的 USB 设备列表:
对于每个 USB 设备,会显示扩展信息:设备名称/描述、设备类型、序列号(用于大容量存储设备)、添加设备的日期/时间、供应商 ID、产品 ID 等... USBDeview 还允许您卸载之前使用的 USB 设备,断开当前连接到计算机的 USB 设备,以及禁用和启用 USB 设备。
(来源如上)
对于您关于确定文件传输历史的问题的另一部分,这取决于许多事情,但最终,操作系统通常不会存储如此多的信息,如本答案所示。您可以对系统进行修改以记录此类信息,但它不是“默认启用”。我想原因是因为它会在很短的时间内用完大量的磁盘空间(如果您将数百万个小文件复制到 USB 记忆棒,那么根据您记录的详细信息,日志将是巨大的)。