Windows lascia tracce ovunque di ciò che fa l'utente. Chiamiamo queste tracce 'Artefatti'.
Obiettivo
Trovare prove dell'attività utente.
Dove Guardare
- LNK Files (Collegamenti): Anche se l'utente cancella il file originale da una chiavetta USB, Windows potrebbe aver creato un collegamento automatico nella cartella 'Recenti'. Questo prova che quel file E' STATO lì.
- Prefetch: File creati per velocizzare l'avvio delle app. Provano che un certo programma (es.
ccleaner.exe) è stato eseguito, quante volte e quando. - Shellbags: Registrano quali cartelle hai aperto e la loro posizione. Utili per provare che l'utente ha esplorato cartelle specifiche.