Histórico dos dispositivos USB conectados

Question

Histórico dos dispositivos USB conectados

#1 resposta do (2 votos)

0

Quero verificar quais dispositivos conectados ao meu computador nos últimos 30 dias. Existe alguma maneira de ver o histórico de dispositivos USB conectados (incluindo o nome do volume) no Windows 7?

usb windows-7

por Shahin 28.11.2013 / 12:07

1 resposta

Tags usb windows-7

Vimrc definindo normal yanking / exclusão de colar para copiar para a área de transferência Escolhendo qual núcleo usar ao executar um programa

score 2 · Accepted Answer

Você está na área de análise forense, e é isso que você deve procurar no Google. O problema com algumas delas é que não é oficialmente documentado. No entanto, qualquer informação de dispositivo externo, mesmo se anexada anteriormente, será registrada em determinadas chaves do Registro. O truque é descobrir qual e em que formato.

Já faz um tempo, mas eu lembro de começar com:

HKLM\System\MountedDevices

O formato de cada chave é REG_BINARY, mas é um texto de 16 bits. Existem GUIDs para cada dispositivo que foi anexado, o nome do dispositivo e seu número de série.

Sem realmente sair e fazer isso sozinho, posso dar alguns exemplos. Por exemplo:

Name: \??\Volume{c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID...}

Se eu decodificar os dados em REG_BINARY, recebo um GUID que faria referência cruzada a, digamos,

Name: “\DosDevices\E:” REG_BINARY ..... (same GUID in here somewhere)

Assim, você obteria os detalhes e o número de série do primeiro e veria onde estava conectado no segundo. O GUID também pode ser usado para encontrar o mesmo dispositivo USB e seu número de série em outras chaves, especificamente:

HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{GUID}

Em resumo, algumas outras chaves de interesse para você:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Se um GUID da chave “HKLM \ SYSTEM \ MountedDevices” corresponder a um GUID nessa chave (para esse usuário - é HKCU, não HKLM), então indica qual usuário estava conectado quando esse dispositivo USB específico estava conectado. O "Last Write Time" está aqui também em algum lugar.

HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\

As subchaves aqui (GUID novamente) incluem o nome do dispositivo, seu número de série e outras subchaves de GUID. Uma linha do tempo para quando cada dispositivo foi anexado e depois removido também é capturada.

Eu não me aprofundei com exemplos reais, pois eu preciso decodificar o REG_BINARY, mas posso reeditar este post e adicionar detalhes, se desejar. Note que eu estava usando o REG QUERY para investigar isso, mas eu notei que o regedit decodificará os detalhes para você se você clicar duas vezes em uma tecla (não editá-la !!)