Documente Academic
Documente Profesional
Documente Cultură
| Seguridad y Redes
Seguridad y Redes
Página personal de Alfon.
A la hora de administrar una red local, entre otras muchas tareas que ya hemos visto, es posible que tengamos que controlar ciertos tipos de activades relativas a
dispositivos conectados a las máquinas de los usuarios como dispositivos USB, teléfonos moviles, cámaras digitales, adaptadores WiFi, Bluetooth,
etc. Los dispositivos conectados a través de puertos USB pueden acarrearnos muchos problemas de seguridad y fugas de información.
En esta ocasión veremos la forma de auditar este tipo de dispositivos, historial de uso y toda la información relativa a cada dispositivo conectado, así como fechas.
Lo veremos a través del registro de Windows y programas diseñados para tal efecto y como pueden ser USB History Dump, USBDeview y
El Registro de Windows.
Cuando a una máquina se conecta un dispositivo USB, el administrador Plug and Play recibe una notificación,
consulta el descriptor de dispositivos para obtener información tal como el fabricante, etc para encontrar un
driver o controlador para el dispositivo o cargar un nuevo controlador. Todo esto queda reflejado en el archivo
setupapi.log que registra información relativa a los dispositivos instalados, drivers y el historial de instalación y
errores. También se almacenará la fecha y la hora en que el dispositivo de almacenamiento extraíble USB se
conectó al sistema por primera vez:
usbstor\diskkingstondatatraveler_2.01.00,usbstor\diskkingstondatatraveler_2.0,usbstor\diskkingston,usbstor\kingstondatatraveler_2.01,kingstondatatraveler_2.01,usbstor\gendisk,gendisk
#I022 Encontrado “GenDisk” en C:\WINDOWS\Inf\disk.inf; Dispositivo: “Unidad de disco”; Controlador: “Unidad de disco”; Proveedor: “Microsoft”; Fab: “(Unidades de disco estándar)”; Nombre de
sección:”disk_install”.
#I023 Sección de instalación actual: [disk_install.NT]. Rango: 0x00000006. Fecha de controlador efectiva: 07/01/2001.
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 1/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
Lo vemos:
En la ventana
Privacidad de
& Cookies: lasitio
este derecha del
usa cookies. editor usando
Al continuar de registro
este sitio, vemos también:
estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
Política de Cookies.
Cerrar y aceptar
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 2/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
Si realizamos una búsqueda en el registro por el valor de Unique Instance ID que más arribas tenemos
marcado en azul: 0703120512562&0 vemos que lo encontramos en:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
Enmarcado en rojo tenemos el valor de Unique Instance ID que más arribas tenemos marcado en azul:
Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
0703120512562&0
Política de Cookies.
Cerrar y aceptar
Un poco más abajo tenemos otra subclave que contiene el ParentIdPrefix: 7&146f1415&0 :
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 3/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
Estas dos subclaves anteriores corresponden a Class GUID keys de disco y de volumen.
Aquí y con el valor de ParentIdPrefix, veremos en que volumen se montó el dispositivo USB. Solo tenemos que
editar el valor binario para en la parte en Haxadecimal buscar el valor ParentIdPrefix
mencionado:
Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
Política de Cookies.
Cerrar y aceptar
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 4/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
Vamos ahora con las fechas y otras informaciones que nos pueda aportar las claves. Si volvemos a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses y elegimos la subclave que nos interesa, por
ejemplo, las mismas marcadas en el ejemplo más arriba reseñado, hacemos lo siguiente: botón derecho del
ratón y explortar en archivo .txt, si lo editamos encontraremos:
Para esta tarea tenemos programas como USBDeview o DeviceLock Plug and Play Auditor que, además,
puede auditar Firewire (IEEE 1394) y PCMCIA. Para usar en la consola DOS, tenemos también USB History
Viewing. que, además, puede auditar Firewire (IEEE 1394) y PCMCIA. Para usar en la consola DOS, USB
History Dump.
Con DeviceLock Plug and Play Auditor podenos escanear una red local en busca de dispositivos en pouertos
Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
USB:
Política de Cookies.
Cerrar y aceptar
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 5/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
La información que nos aporta es mucha y como vemos más abajo tenemos dispositivos moviles Nokia, USB
extraibles, etc y además información de si está en este momento en uso:
Para poder entrar en las máquinas a escanear, previamente hay que introducir las credenciales desde el menu
File > Credentials..
USBDView.
Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
Al ejecutar
Política el programa:
de Cookies.
Cerrar y aceptar
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 6/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
Política de Cookies.
Cerrar y aceptar
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 7/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
Unique InstanceID
ParentIdPrefix
en que unidad se montó el dispositivo por última vez
Disk Stamp y Volume Stamp.
Del los ejemplos que hemos visto más arriba en el registro de Windows:
instanceID: 0703120512562&0
ParentIdPrefix: 7&146f1415&0
Driver:{4D36E967-E325-11CE-BFC1-08002BE10318}002
Cerrar y aceptar
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 8/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
instanceID: 2008012500000000000002AB&0
ParentIdPrefix: 7&15730ba3&0
Driver: {4D36E967-E325-11CE-BFC1-08002BE10318}011
instanceID: 20080125000000000000039D&0
ParentIdPrefix: 7&154fd82a&0
Driver: {4D36E967-E325-11CE-BFC1-08002BE10318}003
—————
PUBLICIDAD
Repetir el video
Más info
Anuncios
Tu voto:
10 Votes
Share this:
Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
Política de Cookies.Facebook
Twitter
Cerrar y aceptar
Me gusta
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 9/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
Relacionado
Yoggie's Gatekeeper Pico. Dispositivo de Posición del sniffer en nuestra red. Redes Skype. Algunas consideraciones sobre Skype
seguridad personal en hardware. conmutadas y no conmutadas. y Bloqueo de tráfico usando Wireshark /
En "Seguridad y redes" En "Actualizaciones de Artículos" Snort. Parte 1
En "Seguridad y redes"
Esta entrada fue publicada en Auditoría, Seguridad y redes. Guarda el enlace permanente.
hulehule dijo:
22 mayo, 2010 en 3:13 pm
Alfon dijo:
24 mayo, 2010 en 9:44 am
Batchman dijo:
9 septiembre, 2010 en 11:25 pm
Hablando de secretos ¿has escuchado del userassist en el regedit?, algo de auditoria muy interesante.
Responder
Alfon dijo:
10 septiembre, 2010 en 10:48 am
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 10/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
Alfon dijo:
13 diciembre, 2010 en 11:23 am
José Luís Toloza, con la herramienta USBDeview puedes ver los registros de fecha y hora. Hay un columna (Last Plug /
Unplug Date) que te informa, si un determinado dispositico, no está conectado, de la fecha y hora exacta en la que se
desconectó dicho dispositivo del sistema auditado.
saludos,
Responder
CharlyLP dijo:
5 abril, 2011 en 4:18 pm
Una Pregunta a este respecto, el Registro de Windows o Windows en general almacenan información acerca de qué archivo
se copia en un Pendrive? Tengo la sospecha de que un subordinado mio me esta sacando informacion de la empresa a afuera.
Hay manera de demostrar esto ante la ley? gracias de antemano.
Responder
Juan dijo:
15 abril, 2011 en 9:56 pm
hola quisiera saber si en el ditor de registro donde aparece la informacion de la usb conectada se puede borrar con el click
derecho del mouse y no causa algun error en el editor de registro
Responder
maria dijo:
16 mayo, 2011 en 3:09 am
hola, tengo una duda, como hago para ver el nombre de la usb, por ejemplo si conecto la mia me aparece el nombre “maria”??
que es como tengo nombrada a mi memoria?
Responder
Alfon dijo:
17 mayo, 2011 en 5:36 pm
Hola maria. Te pongo un ejemplo para USBDeview para que te resulte más sencillo.
Si insertas un dispositivo USB en tu máquina y ejecutas USBDeview, verás que si en Mi PC te aparece una unidad X con
nombre, por ejemplo, USB20FD, en USBDeview aparecerá una Device name que dice USB 2.0 FD y una Descripción: PNY
USB 2.0 FD USB Device.
De las misma forma, aparecerán otros Devices que estuvieron “pinchados” en tu máquina y ahora no lo están y en la columna
Connected dirá No.
Responder
Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
Política de Cookies.
Cerrar y aceptar
Gracias por el aporte dijo:
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 11/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
Karol dijo:
13 agosto, 2012 en 5:52 pm
Hola.
Gracias por el artículo.
Me acaba de pasar algo parecido a José Luis Toloza de Chile (ya comentó antes).
Me gustaría saber cómo puedo saber si alguien copió archivo de mi pendrive a otro dispositivo.
Me han dicho que la computadora debe dejar un registro de cada una de las cosas que se hacen en ella pero no sé como
hacerlo.
Agradecería ayuda.
Saludos.
Responder
Hola,
Tengo una duda, anteriormente habia tenido inconvenientes con mi bandeja de DVD, (no me reconocia el driver) busque en
otros tutoriales y tenia que modificar/eliminar registros “UpperFilters y LowerFilters (filtros altos y bajos)”…. Mi pregunta
es: ¿Puedo hacer lo mismo para dispositivos de almacenamiento?
Es decir mi computadora al introducir un telefono con memoria (por ejemplo) me aparece en la barra de escritorio que se
esta instalando el controlador pero luego me sale error… eso me sucede con todos los dispositivos USB que utilizo…. quisiera
saber si a travez del editor de registros puedo solucionarlo.
saludos,
Responder
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 12/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
Pingback: Consulta
angiechavarria dijo:
25 febrero, 2015 en 4:47 pm
¡Hola! por favor ayúdame. Yo quiero saber si alguien tomó mi usb y la conectó a otro equipo para ver mis archivos.¿El USB
History Dump.sirve para eso? No entiendo como se usa.
Responder
Ruben dijo:
24 abril, 2015 en 7:43 pm
Tom dijo:
11 mayo, 2016 en 10:17 pm
Ale dijo:
28 julio, 2016 en 7:16 pm
Hola! he leído el articulo y me parece muy bueno. He visto que se puede sacar mucha información pero tengo una duda que
quizá no he entendido. ¿Si conecto un USB a un PC, tras la auditoría se puede saber que archivos se han estado viendo? Es
decir, queda registro de los archivos vistos?¿solo se puede ver el formato como si es un pdf o un avi u otro tipo o también el
contenido?
Responder
Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
darkeded
Política de Cookies. dijo:
30 agosto, 2016 en 7:36 pm
Cerrar y aceptar
muchas gracias, usé el programa usbdeview porque el metodo manual se me hace muy complicado
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 13/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
Responder
Seguridad y Redes
Blog de WordPress.com.
Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
Política de Cookies.
Cerrar y aceptar
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 14/14