Sticky Situation

Se ha robado un documento altamente confidencial del ordenador portátil del presidente y se ha vendido en la Dark Web. El Servicio Secreto cree que alguien con acceso físico al ordenador portátil pudo recuperar el importante documento, y sospechan que el método utilizado fue probablemente el ATT&CK ID T1052.001. ¿Puedes ayudar al Servicio Secreto a averiguar cómo ocurrió esto?

Si trato de abrir el caso con el archivo de Sticky Situation.aut me sale este error.

Le damos click a Si. Y buscamos el siguiente archivo.

¿Cuál es el nombre del ordenador? (5 puntos)

MSEDGEWIN10

¿Cuándo se instaló el sistema operativo? (5 puntos)    19/03/2019

¿Cuál es la zona horaria del ordenador? (5 puntos)

GMT

¿Cuál es el número de serie del primer dispositivo de almacenamiento masivo USB conectado? (5 puntos)

001CC0EC33B0BD10D70C00DE

En verdad esto lo hice a pura fuerza bruta.

¿Cuál es el nombre del proveedor del primer dispositivo de almacenamiento masivo USB? (5 puntos)

Kingston

¿Cuándo se conectó por primera vez el primer dispositivo de almacenamiento masivo USB? (hora local del sistema) (5 puntos)

2020/12/01 09:40:16

¿Cuál es la etiqueta de volumen del dispositivo de almacenamiento masivo USB único? (5 puntos)

Darth Vader

Busque el usuario que utilizó el dispositivo USB. ¿Cuál es el SID del usuario? (5 puntos)

S-1–5–21–321011808–3761883066–353627080–1004

¿Cuál es la última letra de unidad asignada al dispositivo USB? (5 puntos)

E:

¿Cuál es el nombre del archivo del documento robado? (5 puntos)

Finance.txt