USBDeview: descubrir cuándo se ha utilizado un pendrive

7 11 2009

Una sencilla herramienta freeware que nos permite obtener toda la información en un equipo sobre el historial de uso de pendrives (u otro tipo Lacie_USBde dispositivos de almacenamiento masivo USB), y averiguar cuántos se han instalado en el equipo, en qué fecha fueron introducidos, cuándo se usaron por última vez y otros datos que pueden ser útiles en el terreno del análisis forense digital.

Por una u otra razón, no voy a entrar en enumerarlas, podemos necesitar conocer si se ha introducido un pendrive o unidad de almacenamiento externo USB en un equipo, qué tipo, en qué letra fue montado, fecha en la que se usó por primera vez, y cuándo se usó por última vez.

Hay otras formas de obtener esta información, pero son mucho más farragosas, y por eso resulta interesante esta herramienta freeware de Nirsoft, que he conocido por una entrada en el blog http://hacking-avanzado.blogspot.com (gracias Sadot).

Descargar la herramienta aquí: http://www.nirsoft.net/utils/usb_devices_view.html

Una vez en el equipo a analizar, descomprimir y lanzar el ejecutable (no requiere información). Nos presentará una tabla, que además podremos exportar total o parcialmente a distintos formatos de archivo, con la información que estamos buscando:

USBdeview

En la captura podemos ver que, por ejemplo, en el equipo en el que ejecutó la herramienta, fué conectado un pendrive marca Kingston el 7-11-2009 a las 22:10, y que fué montado por Windows en la letra N:


Acciones

Information

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: