Análisis de artefactos USB utilizando el Visor de eventos de Windows, el Registro y los registros del sistema de archivos
Autores: Neyaz, Ashar; Shashidhar, Narasimha
Idioma: Inglés
Editor: MDPI
Año: 2019
Acceso abierto
Artículo científico
2019
Análisis de artefactos USB utilizando el Visor de eventos de Windows, el Registro y los registros del sistema de archivos
Categoría
Ingeniería y Tecnología
Subcategoría
Ingeniería Eléctrica y Electrónica
Palabras clave
Dispositivo de almacenamiento masivo USB
Artefactos
Análisis forense
Visor de eventos de Windows
Registro de Windows
Sistema de archivos
Licencia
CC BY-SA – Atribución – Compartir Igual
Consultas: 52
Citaciones: Sin citaciones
Un dispositivo de almacenamiento masivo USB produce una gran cantidad de artefactos cuando se conecta a un sistema. Estos artefactos son persistentes por naturaleza y se mantienen incluso después de que el sistema se haya apagado y la información que contienen puede ayudar en la realización de un análisis forense en un sistema sospechoso. En este documento, demostramos cómo el Visor de eventos de Windows puede ser utilizado para encontrar artefactos forenses en un sistema sospechoso con fines de investigación. También discutimos el potencial que tiene el registro de Windows para identificar la información de los dispositivos USB que se han conectado al sistema, para corroborar nuestros hallazgos del Visor de eventos de Windows. Finalmente, utilizamos el sistema de archivos de Windows 10 para extraer detalles de registro que contienen la información de configuración de un dispositivo USB que se conectó al sistema por primera vez, y obtener los identificadores necesarios y detalles de la marca de tiempo.
Descripción
Un dispositivo de almacenamiento masivo USB produce una gran cantidad de artefactos cuando se conecta a un sistema. Estos artefactos son persistentes por naturaleza y se mantienen incluso después de que el sistema se haya apagado y la información que contienen puede ayudar en la realización de un análisis forense en un sistema sospechoso. En este documento, demostramos cómo el Visor de eventos de Windows puede ser utilizado para encontrar artefactos forenses en un sistema sospechoso con fines de investigación. También discutimos el potencial que tiene el registro de Windows para identificar la información de los dispositivos USB que se han conectado al sistema, para corroborar nuestros hallazgos del Visor de eventos de Windows. Finalmente, utilizamos el sistema de archivos de Windows 10 para extraer detalles de registro que contienen la información de configuración de un dispositivo USB que se conectó al sistema por primera vez, y obtener los identificadores necesarios y detalles de la marca de tiempo.