Me hago eco de un interesante articulo de Rob Lee, en el que comenta que Windows vista mantiene un historico sobre los dispositivos móviles que se han instalado.
La clave en cuestión es:
HKLM\Software\Microsoft\Windows Portable Devices\Devices
Las subclaves contienen el nombre de la unidad, letras asignadas y nombre de dispositivo
Rapidamente se han adaptado algunas utilidades para que sea más comodo el analisis forense, como por ejemplo RegRipper. Os muestro el informe de salida que proporciona la utilidad:
Device : DISK&VEN_APPLE&PROD_IPOD&REV_1.62
LastWrite : Fri Sep 21 01:42:42 2007 (UTC)
SN : 000A270018A0E610&0
Drive : IPOD (F:)
Device : DISK&VEN_BEST_BUY&PROD_GEEK_SQUAD_U3&REV_6.15
LastWrite : Thu Feb 7 13:26:19 2008 (UTC)
SN : 0C90195032E36889&0
Drive : GEEKSQUAD (F:)
Device : DISK&VEN_CASIO&PROD_DIGITAL_CAMERA&REV_1.00
LastWrite : Sat Dec 15 01:17:56 2007 (UTC)
SN : 6&14BB4B7C&0
Drive : Removable Disk (F:)
via conexioninversa saludos y gracias
Entradas
No hay comentarios:
Publicar un comentario