Questão História dos dispositivos USB conectados


Quero verificar quais dispositivos conectados ao meu computador nos últimos 30 dias.
Existe alguma maneira de ver o histórico de dispositivos USB conectados (incluindo o nome do volume) no Windows 7?


0


origem




Respostas:


Você está na área de Forense, então é isso que você deve procurar no Google. O problema com algumas delas é que não é oficialmente documentado. No entanto, qualquer informação de dispositivo externo, mesmo se anexada anteriormente, será registrada em determinadas chaves do Registro. O truque é descobrir qual e em que formato.

Já faz um tempo, mas eu lembro de começar com:

HKLM \ System \ MountedDevices

O formato de cada chave é REG_BINARY, mas é um texto de 16 bits. Existem GUIDs para cada dispositivo que foi anexado, o nome do dispositivo e seu número de série.

Sem realmente sair e fazer isso sozinho, posso dar alguns exemplos. Por exemplo:

Nome: \ ?? \ Volume {c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID ...}

Se eu decodificar os dados em REG_BINARY, obteria um GUID que faria referência cruzada a, digamos,

Nome: “\ DosDevices \ E:” REG_BINARY ..... (mesmo GUID aqui em algum lugar)

Então você obteria os detalhes e o número de série do primeiro e veria onde estava conectado no segundo. O GUID também pode ser usado para encontrar o mesmo dispositivo USB e seu número de série em outras chaves, especificamente:

HKLM \ SYSTEM \ ControlSet001 \ Control \ DeviceClasses \ {GUID}

Em resumo, algumas outras chaves de interesse para você:

 HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2 

Se um GUID da chave “HKLM \ SYSTEM \ MountedDevices” corresponder a um GUID nessa chave (para esse usuário - é HKCU, não HKLM), então indica qual usuário estava conectado quando esse dispositivo USB específico estava conectado. O "Last Write Time" está aqui também em algum lugar.

 HKLM \ SYSTEM \ CurrentControlSet \ Control \ DeviceClasses \ 

As subchaves aqui (GUID novamente) incluem o nome do dispositivo, seu número de série e outras subchaves de GUID. Uma linha do tempo para quando cada dispositivo foi anexado e depois removido também é capturada.

Eu não tenho aprofundado com exemplos reais como eu preciso decodificar o REG_BINARY, mas eu posso reeditar este post e adicionar detalhes, se desejar. Note que eu estava usando o REG QUERY para investigar isso, mas eu notei que o regedit decodificará os detalhes para você se você clicar duas vezes em uma tecla (não edite!)


2