Listando todos os dispositivos que um dia conectaram na USB do computador

AGRADEÇA AO AUTOR COMPARTILHE!

Em algum momento, um dispositivo USB é conectado no computador, seja ele uma impressora, pendrive, CD-ROM ou uma câmera digital. E quando essa conexão é efetuada na porta USB, fica gravado no registro do Windows, uma série de informações sobre o dispositivo que um dia foi inserido na USB do micro.

Para um perito forense, esse tipo de informação gravado em uma chave do registro do Windows, é uma fonte rica de dados preciosos que pode resolver uma lide emanada no judiciário.

Por exemplo, digamos que um criminoso se defenda e diga que o pendrive dele não foi utilizado no computador da vítima para infectar o computador, e assim, obter dados sigilosos e confidenciais. Basta o perito consultar o registro do Windows e pronto, se o dispositivo USB estiver listado na chave de registro, é uma confirmação que o pendrive foi conectado na porta USB. Caberá ao Juiz decidir se o criminoso realmente praticou tal ato com intenção de obter dados confidenciais, mas desde imediato, fica comprovado e derrubado a tese da defesa, em que foi alegado que o pendrive nunca foi inserido na USB do computador da vítima.

Para listar os dispositivos que um dia foi conectado na porta USB do computador, basta localizar a seguinte pasta no registro do Windows:

1 – Clique em Iniciar, e digite regedit para entrar no registro do windows;

2 – Localize a seguinte chave no registro:

HLM -> System -> ControlSet001 ->  Enum -> USBTOR

Se existir ControlSet002, ControlSet003 e assim por diante… pesquise em todas essas chaves, pois em cada uma delas, na chave USBTOR, estará listado todos os dispositivos USB que um dia, passaram pelo computador.

Para os leigos, a primeira resposta em mente é que não seria possível estabelecer uma relação entre o computador e o pen drive inserido na USB. Entretanto, profissionais que gostam da área forense, percebem que na área de TI, muita coisa interessante é registrado nos Sistemas Operacionais e jamais nos preocupamos com isso, quiçá saber que isso existia.

Aconselho aos profissionais de TI, mesmo que não se identifiquem com a área de perícia, estudar um pouco sobre a Computação Forense, poderá lhe servir em algum momento na sua carreira profissional.

Fica aqui a dica.

AGRADEÇA AO AUTOR COMPARTILHE!

Roney Medice

Mais artigos deste autor »

Coordenador de Segurança da Informação do Terminal Retroportuário, no Porto de Vitória, com mais de 22 anos de experiência na área. Consultor de Segurança da Informação do Grupo Otto Andrade. Membro Fundador do CSA - Cloud Security Alliance, Membro do Comitê ABNT/CB-21 em Segurança da Informação. Graduado em Ciência da Computação, Direito e MBA em Gestão de Segurança da Informação.


11 Comentários

Diego Cardoso
1

Bom dia Roney,

Concordo com o seu artigo, não sabia exatamente como fazer estre procedimento, mas tinha idéia de que era possível sim encontrar estes tipos de registros.

Se pararmos para pensar, a maior parte dos sistemas diários dos quais utilizamos fazem um registro das atividades que foram feitas, seja um tracer para identificar o caminho percorrido em um sistema ou até mesmo o próprio Google, faça o teste se você estiver logado com sua conta aparecendo na hora da pesquisa se ele não armazena um histórico de todos os caminhos e palavras chaves que o usuário busca.

Abraço !

Roney Médice
2

Diego,

Por isso que a atividade de um perito forense é muito interessante e intrigante, Novos conhecimentos que quase ninguém possui, abre novas oportunidades de mercado.

Abraços,

Osiel Barbosa
6

Bom dia, gostaria de saber se é possível determinar o dia é a hora em que o pendrive foi conectado ao computador, pois pra minha perícia é de fundamental importância determinar o momento dessa conexão.
Grato pela atenção.

Tácio Veiga
7

Roney, bom dia!
Existe a possibilidade de identificar com precisão a data/horário de conexão desses dispositivos e verificar qual usuário estava logado naquele momento?

Deuz
8

Olá, eu gostaria de saber o contrario, quais evidencias ficam no pendrive ou no hd externo, mesmo um interno, quando ele é conectado como slave em outro micro.. quais arquivos sao salvos?

Silvio
9

Como faço para saber quando foi desconectado, um hd externo sumiu da sala de servidores, tem como saber a data em que foi removido?

Otavio Gomes Filho
11

Olá, sou advogado e achei este site em busca de informações para um caso muito interessante que me chegou. Uma moça, garota de programa dessas que tem anúncios em sites, recebeu um envelope com uma carta e um pen-drive dentro.

A carta dizia que se ela continuasse a trabalhar como garota de programa as fotos baixadas do site e que estavam dentro do pen-drive serão entregues para sua familia. Isso caracteriza constrangimento ilegal e é crime.

Pergunto: as fotos dentro do pen drive trazem alguma informação do computador usado para a cessar o tal site e baixá-las ? Número do IP ou coisa assim ??

E o próprio pen drive pode ter alguma informação do computador onde esteve conectado ?

Grato

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">