Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Wie schon geschrieben, die Kopiervorgänge selbst werden nicht protokolliert.
Man kann aber anhand der Dateizugriffe (Quelle und Ziel) und USB-Historie Rückschlüsse auf Kopiervorgänge schließen.
Das sind jetzt zwar nur HEX-Rohwerte, die lassen sich aber mit einem entspr. Programm aufbereiten und Informationen wie Tag/Uhrzeit des Zugriffes auslesen.
Und vor allem kann man direkt sehen, dass es sich um eine MRU Liste handelt, die nur die zuletzt geöffneten Dokumente zwischenspeichert, damit die an den entsprechenden Stellen des Systems (Startmenü: Zuletzt verwendet, Taskleistensymbol) zur Verfügung stehen. Und diese Listen werden nach dem FiFo Prinzip auch direkt wieder überschrieben, wenn die Liste voll ist. Dann fliegen die zuerst festgehaltenen Dateinamen nämlich direkt wieder raus und machen Platz für neue.
Wenn das entsprechende NTFS Logging aktiviert wurde, dann landen diese Logs nämlich gar nicht in der Registry, sondern sie werden in separate Logdateien geschrieben.
Nein überhaupt nicht. Für Menschen die in diesem Bereich der Forensik Ahnung haben können, aus solchen Spuren viel herauslesen. Auch, dass mutmaßlich Dateien auf einem USB-Stick kopiert wurden.
Mach das Kopieren mal per CMD/Powershell.
Was Du da beschreibst trifft sehr wohl zu wenn z.B. der windowseigene Explorer verwendet wird. Nur halt nicht, wenn etwas benutzt wird was den nicht benutzt.
Da muss man eher das Audit anhaben plus (extra) Dienste die den ganzen Krams tracken.
Plus in Kombination das USB-Ergeignisse stattgefunden haben.
Rein Registry, wuerde ich fuer mich nicht als den Auskunfstort ansehen das irgendwas passiert ist.
Wenn du eine Datei \Dokumente\Arbeitsvertrag_Vorname_Nachname.pdf hast, die diese auf USB G: kopierst
(G:\Arbeitsvertrag_Vorname_Nachname.pdf), welches in der Histrorie auftaucht, kannst du schwer leugnen, dass du die Datei nicht kopiert hast.
Denn, dass G: ein USB-Laufwerk war, lässt sich ermitteln.
Warum reitest Du dann auf der Registry rum? @PC295
Im Endeffekt hilft es der/die/das TE nicht.
Theben1371 schrieb:
Frage: ist es später möglich zu sehen, ob Dateien vom Laptop bzw. Netzwerk auf den USB Stick gespeichert oder kopiert wurden, wenn man nicht im Besitz dieses USB Sticks ist?
