Поиск и анализ следов подключения USB-накопителей при расследовании утечек данных🔈 Не секрет, что внешние накопители — от обычных USB-флешек до ёмких жёстких дисков и смартфонов — нередко становятся каналом утечек данных и распространения шифровальщиков. Специалистам по цифровой криминалистике часто нужно восстановить точную хронологию: ❓когда USB-устройство подключили, ❓какие действия выполняли,❓когда его отключили. И в поиске первоисточника заражения сети, и при разборе ситуации с копированием данных перед увольнением ответы нередко даёт анализ истории использования внешних носителей. Главная ценность таких артефактов — в том, что они помогают связать конкретное USB-устройство с действиями по доступу к файлам. Недостаточно знать, что внешний диск или смартфон подключали к компьютеру. Гораздо важнее понять, какие файлы пользователь открывал или копировал, пока устройство было активно. Для этого нужно понимать, как Windows на системном уровне обрабатывает разные классы устройств и какие записи делает для каждого из них.ℹ️ Разбираем следующие аспекты: 💡Классификация подключаемых накопителей 💡Где искать следы 💡Анализ журналов событий Windows (Event Logs) 💡MTP и PTP: смартфон в роли накопителя 💡Следы в файловой системе: подтверждение действий пользователя Подробнее в нашей новой статье📎