Diferencias

Muestra las diferencias entre dos versiones de la página.

--- master_cs:analisis_forense:cmdimportant [2025/02/12 18:38] – thejuanvisu
+++ master_cs:analisis_forense:cmdimportant [2025/03/10 16:15] (actual) – thejuanvisu
@@ Línea 25: / Línea 25: @@
 </code>
 ==== Windows ====
+Para bloquear completamente el montaje automático de USBs en windows tenemos que ir a la siguiente sección del registro (OJO: Esto no permite clonar el USB):
+<code>
+HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
+</code>
+y modificar la REG_DWORD Start, con un valor inicial de 3, al valor 4 como se ve en la siguiente imagen:
+<WRAP column 100%>
+{{:master_cs:analisis_forense:pasted:20250309-182254.png}}
+</WRAP>
+Aparentemente no hay una forma de bloquear el montaje en Windows 10 sin hacer los volúmenes completamente inaccesibles, por lo que lo que se debe hacer es deshabiltiar la escritura de USBs con Ratool.
+Para ver los dispositivos USB conectados a nuestro equipo en windows podemos usar el siguiente comando en powershell:
+<code>
+Get-PnpDevice -PresentOnly | Where-Object { $_.InstanceId -match '^USB' }
+</code>
+Otro comando que se puede usar para esto mismo sería:
+<code>
+pnputil /enum-devices /connected /class USB
+</code>
 ===== Comandos para obtener información =====
 Muestra información sobre los discos, pero no nos permite saber si están montados o no
@@ Línea 102: / Línea 121: @@
 **OJO:** solo funciona al usuario que tiene iniciada la sesión, si se usa SUDO no funcionará.
+===== Como configurar Windows en equipos de investigación =====
+Primero debemos deshabilitar el AutoRun o el AutoPlay desde ciertas claves de registro. Hacer que los USB sean de solo lectura. Usando la opción diskpart de automount podemos deshabilitar el montaje automático.
+OJO: Cada vez que se acutalice una máquina hay que comprobar que no se hayan revertido estos cambios.

Knoppia

Herramientas de usuario

Herramientas del sitio

Diferencias

Herramientas de la página