Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Wie schon geschrieben, die Kopiervorgänge selbst werden nicht protokolliert.
Man kann aber anhand der Dateizugriffe (Quelle und Ziel) und USB-Historie Rückschlüsse auf Kopiervorgänge schließen.
Das sind jetzt zwar nur HEX-Rohwerte, die lassen sich aber mit einem entspr. Programm aufbereiten und Informationen wie Tag/Uhrzeit des Zugriffes auslesen.
Und vor allem kann man direkt sehen, dass es sich um eine MRU Liste handelt, die nur die zuletzt geöffneten Dokumente zwischenspeichert, damit die an den entsprechenden Stellen des Systems (Startmenü: Zuletzt verwendet, Taskleistensymbol) zur Verfügung stehen. Und diese Listen werden nach dem FiFo Prinzip auch direkt wieder überschrieben, wenn die Liste voll ist. Dann fliegen die zuerst festgehaltenen Dateinamen nämlich direkt wieder raus und machen Platz für neue.
Wenn das entsprechende NTFS Logging aktiviert wurde, dann landen diese Logs nämlich gar nicht in der Registry, sondern sie werden in separate Logdateien geschrieben.
Nein überhaupt nicht. Für Menschen die in diesem Bereich der Forensik Ahnung haben können, aus solchen Spuren viel herauslesen. Auch, dass mutmaßlich Dateien auf einem USB-Stick kopiert wurden.
Mach das Kopieren mal per CMD/Powershell.
Was Du da beschreibst trifft sehr wohl zu wenn z.B. der windowseigene Explorer verwendet wird. Nur halt nicht, wenn etwas benutzt wird was den nicht benutzt.
Da muss man eher das Audit anhaben plus (extra) Dienste die den ganzen Krams tracken.
Plus in Kombination das USB-Ergeignisse stattgefunden haben.
Rein Registry, wuerde ich fuer mich nicht als den Auskunfstort ansehen das irgendwas passiert ist.
Wenn du eine Datei \Dokumente\Arbeitsvertrag_Vorname_Nachname.pdf hast, die diese auf USB G: kopierst
(G:\Arbeitsvertrag_Vorname_Nachname.pdf), welches in der Histrorie auftaucht, kannst du schwer leugnen, dass du die Datei nicht kopiert hast.
Denn, dass G: ein USB-Laufwerk war, lässt sich ermitteln.
Warum reitest Du dann auf der Registry rum? @PC295
Im Endeffekt hilft es der/die/das TE nicht.
Theben1371 schrieb:
Frage: ist es später möglich zu sehen, ob Dateien vom Laptop bzw. Netzwerk auf den USB Stick gespeichert oder kopiert wurden, wenn man nicht im Besitz dieses USB Sticks ist?
Bei der Quelle letztes Zugriffsadtum, weil das ändert sich wenn nan die Darei kopiert. Und dann Erstelldatum wenn man es schafft angeschlossene externe Datenträger zu überwachen. Kopieren ist immer auch ein Erstellen/Einfügen. Hochladen per Browser wird schwierig, da hast Du nur Zugriffsdatum.
Ich bin immer noch nicht dabei, das man in der Registry alles findet was sich um das Erstellen/Zugreifen/Ändern von Irgendwas handelt. Kann nicht gehen weil die würde sehr fett werden. Und nicht umsonst hat MS den Audit erfunden. Der wäre zwecklos wenn alles in der REG wäre. @PC295
Anyway.
Solch Eintrag aka “test_Besucht am” kommt mir nicht nach einem default vor bei dem es um Dateioperationen geht. Eher um eine Auskunft per forensischer Untersuchung von Irgendwas aka Nutzerprofil.
Sicherlich nicht alles seit der Installation. Ich habe Einträge bis Jan/Feb gefunden. Wahrscheinlich wird auch vieles durch die Datenträgerbereinigung gelöscht.
Ergänzung ()
Abseits der Registry kannst du auch hier mal schauen:
