Pages

Ads 468x60px

viernes, 13 de septiembre de 2013

Supongamos que sucede... (otra historia)




Como ya he comentado en alguna otra entrada, esto no ha pasado ni tiene porque pasar (es una historia). 


Hace unos días, en uno de los clientes en los que trabajo me comento un compañero que le había desaparecido un pendrive y que pensaba que lo tenia otro compañero, que qué podía hacer.

Yo lejos de lo que él esperaba, le dije que hablase con esa persona por si se lo había llevado sin darse cuenta. 

Por una vez, parece ser que me hizo caso y se fue a hablar con su compañero y efectivamente, éste lo había "cogido sin querer". No contento con el resultado, ya que al parecer se lo había formateado (a pesar de que la otra persona negaba rotundamente que lo hubiese usado) y aunque no tenia nada de valor, le molestaba la mentira.

Total, que me dijo que si podíamos saber de alguna manera si lo había conectado en un equipo que usa el susodicho.
Rápidamente, con la habilidad que nos caracteriza, con la destreza que nos distingue y con la velocidad con la que los informáticos ejecutamos las emergencias, le dije que si, que se podía saber.    
Así que, sin mas, me dispuse a investigar lo acontecido.

Lo primero que pensé es que el equipo estaba bloqueado y que me las tenia que ingeniar para saltarme la contraseña, así que tiré de mis propios recursos y fui siguiendo los pasos de como saltarse la contraseña de windows

Una vez que ya tenía acceso, habría que acceder al registro para ver que dispositivos habían sido conectados, no sin antes hacer un backup del registro.
Ya estaba dentro, ahora era cuando empezaba lo bueno. El pendrive era un Store n Go de 8gb, asi que me dispuse a revisar el registro y en la clave HKLM\SYSTEM\CurrentControlSet\Enum\USBSTORE vi que efectivamente se había conectado a ese equipo.






Esto no nos indicaba nada, solo que ese dispositivo se había pinchado en el equipo, así que, necesitaba mas pruebas.

En la ruta HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\ y con el ID que teníamos en la ruta anterior, se puede ver la fecha y la hora de la ultima escritura.



ClassGUID- Identificador del USB




Solo había que dar encima de la clase, con botón derecho y darle a exportar. Lo guardamos como archivo de texto (para facilitarnos su lectura) y ya podemos verlo.






Obviamente esto tampoco era determinante, así que me dio por recuperar los ficheros que se habían perdido en el formateo.
Como no era algo "profesional" utilicé Recuva para ver que encontraba. Lo instale y le dije a Recuva que buscase en una posición especifica.






Como en la primera pasada no encontró nada, le dije que hiciese una búsqueda mas exhaustiva (escaneo profundo). Después de unos 35 minutos encontró bastantes archivos.





Revisando por fechas, me encuentro con un archivo bastante esclarecedor, con el nombre del presunto "ladrón" del pendrive.






Casualmente, era el curriculum de la persona que se había agenciado el pendrive.






Así que, al menos para el dueño del pendrive, ya estaba claro que no lo había cogido sin querer, ya que ha quedado demostrado que lo usó para sus cosas y encima se lo había formateado.

Como ya he dicho al principio de la entrada, esto solo es una historia, no se ha producido en ningún momento, ni se ha investigado a nadie.

akil3s.

2 comentarios:

  1. Muy bueno!!!

    Sólo faltaba, si tuviese formato NTFS, coger las tablas... ¿MFA?¿MTA? Ahí sí que se vería un montón de información!! Entre otros, cambios incluso en las fechas de los ficheros (usando, por ejemplo, time stomp [o como se escriba]).

    ResponderEliminar
    Respuestas
    1. Muchas gracias agux, me alegra que te haya gustado.
      Un abrazo

      Eliminar

Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates