Incident Response, Security and Forensics"

.

lunes, 1 de septiembre de 2008

Descubrimiento de dispositivos en Windows Vista

Me hago eco de un interesante articulo de Rob Lee, en el que comenta que Windows vista mantiene un historico sobre los dispositivos móviles que se han instalado.

La clave en cuestión es:
HKLM\Software\Microsoft\Windows Portable Devices\Devices

Las subclaves contienen el nombre de la unidad, letras asignadas y nombre de dispositivo

Rapidamente se han adaptado algunas utilidades para que sea más comodo el analisis forense, como por ejemplo RegRipper. Os muestro el informe de salida que proporciona la utilidad:

Device : DISK&VEN_APPLE&PROD_IPOD&REV_1.62
LastWrite : Fri Sep 21 01:42:42 2007 (UTC)
SN : 000A270018A0E610&0
Drive : IPOD (F:)

Device : DISK&VEN_BEST_BUY&PROD_GEEK_SQUAD_U3&REV_6.15
LastWrite : Thu Feb 7 13:26:19 2008 (UTC)
SN : 0C90195032E36889&0
Drive : GEEKSQUAD (F:)

Device : DISK&VEN_CASIO&PROD_DIGITAL_CAMERA&REV_1.00
LastWrite : Sat Dec 15 01:17:56 2007 (UTC)
SN : 6&14BB4B7C&0
Drive : Removable Disk (F:)