Como posso verificar se um usuário conectou um disco rígido externo?

No Windows, é armazenado no registro - geralmente HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Eutambémverificosetupapi.logon%windir%parainstalaçõesdedriversemsistemasanterioresaowindows7(ésupostoser%windir%\INF\setupapi.dev.loge%windir%\INF\setupapi.app.log,masasclassesforensesforamtotalmenteignoradaslocalização,entãoeunãoestoutotalmentefamiliarizadocomisso)-seumdriverestálá,eseudispositivonãoestánoregistro,vocêsabequealgoestáerrado.

Euoencaminhoparaesteartigosobre antiforensics que eu usei para atualizar minha memória sobre onde exatamente ela está.

Se um dispositivo USB estiver conectado e estiver montado no Windows, ele será registrado no registro do Windows.

Você pode usar USBDeview para ver qualquer dispositivo USB conectado a qualquer computador em que você o utiliza. Ele puxa as informações do Registro do Windows.

USBDeview is a small utility that lists all USB devices that currently connected to your computer, as well as all USB devices that you previously used.For each USB device, extended information is displayed: Device name/description, device type, serial number (for mass storage devices), the date/time that device was added, VendorID, ProductID, and more.

USBDeview also allows you to uninstall USB devices that you previously used, disconnect USB devices that are currently connected to your computer, as well as to disable and enable USB devices. You can also use USBDeview on a remote computer, as long as you login to that computer with admin user.

A única maneira de contornar isso é remover manualmente todas as entradas do registro que se referem a esse dispositivo específico, juntamente com outras localizações do Windows mencionadas pelo Journeyman Geek. O recurso de desinstalação USBDeview não pode remover todos os rastreamentos do dispositivo no registro.