Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » master_cs » analisis_forense » cmdimportant
master_cs:analisis_forense:cmdimportant

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
master_cs:analisis_forense:cmdimportant [2025/02/12 18:27] thejuanvisumaster_cs:analisis_forense:cmdimportant [2025/03/10 16:15] (actual) thejuanvisu
Línea 1: Línea 1:
-====== Comandos Importantes Prácticas ======+====== [AF]Comandos Importantes Prácticas ======
 Se recomienda trabajar con el sistema operativo instalado en hardware real, se deben evitar las máquinas virtuales ya que nos pueden traer problemas. Se recomienda empezar con linux y luego pasar a Windows. Se recomienda trabajar con el sistema operativo instalado en hardware real, se deben evitar las máquinas virtuales ya que nos pueden traer problemas. Se recomienda empezar con linux y luego pasar a Windows.
  
Línea 25: Línea 25:
 </code> </code>
 ==== Windows ==== ==== Windows ====
 +Para bloquear completamente el montaje automático de USBs en windows tenemos que ir a la siguiente sección del registro (OJO: Esto no permite clonar el USB):
 +<code>
 +HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
 +</code>
 +y modificar la REG_DWORD Start, con un valor inicial de 3, al valor 4 como se ve en la siguiente imagen:
 +<WRAP column 100%>
 +{{:master_cs:analisis_forense:pasted:20250309-182254.png}}
 +</WRAP>
  
 +Aparentemente no hay una forma de bloquear el montaje en Windows 10 sin hacer los volúmenes completamente inaccesibles, por lo que lo que se debe hacer es deshabiltiar la escritura de USBs con Ratool.
  
 +
 +Para ver los dispositivos USB conectados a nuestro equipo en windows podemos usar el siguiente comando en powershell:
 +<code>
 +Get-PnpDevice -PresentOnly | Where-Object { $_.InstanceId -match '^USB' }
 +</code>
 +
 +Otro comando que se puede usar para esto mismo sería:
 +<code>
 +pnputil /enum-devices /connected /class USB
 +</code>
 ===== Comandos para obtener información ===== ===== Comandos para obtener información =====
 Muestra información sobre los discos, pero no nos permite saber si están montados o no Muestra información sobre los discos, pero no nos permite saber si están montados o no
Línea 102: Línea 121:
 **OJO:** solo funciona al usuario que tiene iniciada la sesión, si se usa SUDO no funcionará. **OJO:** solo funciona al usuario que tiene iniciada la sesión, si se usa SUDO no funcionará.
  
 +===== Como configurar Windows en equipos de investigación =====
 +Primero debemos deshabilitar el AutoRun o el AutoPlay desde ciertas claves de registro. Hacer que los USB sean de solo lectura. Usando la opción diskpart de automount podemos deshabilitar el montaje automático. 
 +
 +OJO: Cada vez que se acutalice una máquina hay que comprobar que no se hayan revertido estos cambios.
  
master_cs/analisis_forense/cmdimportant.1739384857.txt.gz · Última modificación: 2025/02/12 18:27 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki