Você está na área de análise forense, e é isso que você deve procurar no Google. O problema com algumas delas é que não é oficialmente documentado. No entanto, qualquer informação de dispositivo externo, mesmo se anexada anteriormente, será registrada em determinadas chaves do Registro. O truque é descobrir qual e em que formato.
Já faz um tempo, mas eu lembro de começar com:HKLM\System\MountedDevices
O formato de cada chave é REG_BINARY, mas é um texto de 16 bits. Existem GUIDs para cada dispositivo que foi anexado, o nome do dispositivo e seu número de série.
Sem realmente sair e fazer isso sozinho, posso dar alguns exemplos. Por exemplo:
Name: \??\Volume{c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID...}
Se eu decodificar os dados em REG_BINARY, recebo um GUID que faria referência cruzada a, digamos,
Name: “\DosDevices\E:” REG_BINARY ..... (same GUID in here somewhere)
Assim, você obteria os detalhes e o número de série do primeiro e veria onde estava conectado no segundo. O GUID também pode ser usado para encontrar o mesmo dispositivo USB e seu número de série em outras chaves, especificamente:
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{GUID}
Em resumo, algumas outras chaves de interesse para você:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Se um GUID da chave “HKLM \ SYSTEM \ MountedDevices” corresponder a um GUID nessa chave (para esse usuário - é HKCU, não HKLM), então indica qual usuário estava conectado quando esse dispositivo USB específico estava conectado. O "Last Write Time" está aqui também em algum lugar.
HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\
As subchaves aqui (GUID novamente) incluem o nome do dispositivo, seu número de série e outras subchaves de GUID. Uma linha do tempo para quando cada dispositivo foi anexado e depois removido também é capturada.
Eu não me aprofundei com exemplos reais, pois eu preciso decodificar o REG_BINARY, mas posso reeditar este post e adicionar detalhes, se desejar. Note que eu estava usando o REG QUERY para investigar isso, mas eu notei que o regedit decodificará os detalhes para você se você clicar duas vezes em uma tecla (não editá-la !!)