16,472
社区成员
发帖
与我相关
我的任务
分享关于u盘使用记录的问题
需要查找计算机使用U盘的记录,我知道通过注册表能找到使用过哪些U盘,能得到U盘名称以及相应的参数信息,但是我还想得到U盘的使用时间,比如第一次使用时间,最后使用时间,或者有可能,最好能得到每次使用的时间.我仔细检查过注册表,没有找到有关时间的记录;不知道是我没有找到,还是存在别的文件里,希望知道的人指点一下
我的程序不会实时的运行在电脑里,所以通过DEVICECHANGE来记录时间是用不上的.我在网上找到一个小软件,能够给出每种U盘的首次使用和最后使用时间,可见时间是可以找到的.知道的请说一下,万分感谢
我的程序不会实时的运行在电脑里,所以通过DEVICECHANGE来记录时间是用不上的.我在网上找到一个小软件,能够给出每种U盘的首次使用和最后使用时间,可见时间是可以找到的.知道的请说一下,万分感谢
...全文
请发表友善的回复…
发表回复
Gavin001 2007-11-21
- 打赏
- 举报
自己解决了.一开始就走进了误区.
使用RegEnumKeyEx()函数枚举注册表目录,
函数的最后一个参数是PFILETIME lpftLastWriteTime,记录了当前项的最好修改时间
通过这个就能得到U盘的首次使用时间和最近一次使用时间
使用RegEnumKeyEx()函数枚举注册表目录,
函数的最后一个参数是PFILETIME lpftLastWriteTime,记录了当前项的最好修改时间
通过这个就能得到U盘的首次使用时间和最近一次使用时间
dingrui 2007-11-17
- 打赏
- 举报
这个功能是要写个驱动程序的...通过注册表是行不通的.
可以在系统的驱动层增加个对USB设备的使用记数功能
可以在系统的驱动层增加个对USB设备的使用记数功能
chehw 2007-11-17
- 打赏
- 举报
以前为了应付安检, 从网上找的方法清除后仍有一个软件可以找到最近使用的日期, 后来找到这个键值并删除后, 就没痕迹了.
我也没深研究过这个问题, 帮顶一下.
我也没深研究过这个问题, 帮顶一下.
Gavin001 2007-11-17
- 打赏
- 举报
并且我清除记录后,重新插上U盘,这个地方的值和原来一样
我是需要获取U盘的第一次使用时间和最后一次使用时间,如果只是清除痕迹,那就简单了
我是需要获取U盘的第一次使用时间和最后一次使用时间,如果只是清除痕迹,那就简单了
Gavin001 2007-11-17
- 打赏
- 举报
TO chehw:
在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}下某一特定的USB设备目录下
只能找到 DeviceInstance,SymbolicLink,Linked和ReferenceCount四个值
好像没有记录时间的地方吧?
在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}下某一特定的USB设备目录下
只能找到 DeviceInstance,SymbolicLink,Linked和ReferenceCount四个值
好像没有记录时间的地方吧?
Gavin001 2007-11-17
- 打赏
- 举报
在我的电脑里
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}下面有
USBSTOR\Disk&Ven_SZHX&Prod_iCreate_UDisk2.0&Rev_1.00\6&25541b89&0
其中6&25541b89&0
就是时间?
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}下面有
USBSTOR\Disk&Ven_SZHX&Prod_iCreate_UDisk2.0&Rev_1.00\6&25541b89&0
其中6&25541b89&0
就是时间?
Gavin001 2007-11-17
- 打赏
- 举报
To chehw:
删除那个键之后查不出痕迹,原因可能是查找痕迹时就是以这里的设备为基础的,如果这里为空,根本就不会去查时间,我的思路也是这样的.先从注册表中找出所有使用过的U盘,然后再查每个U盘使用的时间情况,目前只能查出第一次使用时间,是在 windows目录下的setupaip.log中查的,这个方法不好,不过我确实找不到其它办法了.即使这样,最后一次时间还是没办法取到.愁人.
To dingrui(波斯王子):
我从网上找到两个软件,可以查出第一次和最后一次使用时间.这两个软件在我电脑上首次使用时就能查出好几个月内U盘的使用情况,可以肯定是直接从电脑里取出的数据,而不是对驱动或者其它什么修改后,才能取得数据的.
谢谢上面两位,继续想办法
删除那个键之后查不出痕迹,原因可能是查找痕迹时就是以这里的设备为基础的,如果这里为空,根本就不会去查时间,我的思路也是这样的.先从注册表中找出所有使用过的U盘,然后再查每个U盘使用的时间情况,目前只能查出第一次使用时间,是在 windows目录下的setupaip.log中查的,这个方法不好,不过我确实找不到其它办法了.即使这样,最后一次时间还是没办法取到.愁人.
To dingrui(波斯王子):
我从网上找到两个软件,可以查出第一次和最后一次使用时间.这两个软件在我电脑上首次使用时就能查出好几个月内U盘的使用情况,可以肯定是直接从电脑里取出的数据,而不是对驱动或者其它什么修改后,才能取得数据的.
谢谢上面两位,继续想办法
Gavin001 2007-11-16
- 打赏
- 举报
up
chehw 2007-11-16
- 打赏
- 举报
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
项下有记录, 不过用的是FILETIME来表示的, 你可以直接删除含有##?#USESTOR#的项就可以清除痕迹
Gavin001 2007-11-16
- 打赏
- 举报
U盘第一次使用时间可以找到了,在系统目录下有日志文件记录设备安装的
剩下最近使用时间,谁能给点思路?
注册表和系统目录下都没有找到,愁人
剩下最近使用时间,谁能给点思路?
注册表和系统目录下都没有找到,愁人
Gavin001 2007-11-15
- 打赏
- 举报
顶上来,问题没解决
希望大家帮我想想办法
希望大家帮我想想办法
Gavin001 2007-11-14
- 打赏
- 举报
应该是谢谢3楼的shunruo兄
Gavin001 2007-11-14
- 打赏
- 举报
谢谢楼上的
我分析一下
我分析一下
Gavin001 2007-11-14
- 打赏
- 举报
分析了一下注册表
试了三款U盘,只有一款可以从注册表中找到有时间的改变
其它两款没反应
这个办法好像不行,谁知道的再提示一下
试了三款U盘,只有一款可以从注册表中找到有时间的改变
其它两款没反应
这个办法好像不行,谁知道的再提示一下
Gavin001 2007-11-13
- 打赏
- 举报
up一下
ccpaishi 2007-11-13
- 打赏
- 举报
UP一下,这个的确没有关注过。但是原来保密检查的时候都是格式化硬盘的。
U盘应该是硬件的变动,关注一下。
U盘应该是硬件的变动,关注一下。
凤矶 2007-11-13
- 打赏
- 举报
这个可以研究一下,先保存内存快照,用一下U盘,再保存一次,比较。我试了,有些东东被改过,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed
新: 类型: REG_BINARY 长度: 80 (0x50) 字节
000000: 5A DB EB FD DF F6 65 97 E7 A4 6C 7A 0D 9C 3E C2 | Z.....e...lz..>. 000010: A9 CD CD 0B C2 98 E2 26 9B 8A 52 13 0E 2A 01 A5 | .......&..R..*.. 000020: D0 C1 7F F2 62 46 C1 C2 FE 38 9B AD 50 09 68 AC | ....bF...8..P.h. 000030: D6 8F 5E F7 DC D2 12 D0 02 EB 59 E4 4E 15 3D AE | ..^.......Y.N.=. 000040: 61 D6 DF 22 0B C7 8F FB B1 1F C9 1A 21 86 30 DE | a.."........!.0.
旧: 类型: REG_BINARY 长度: 80 (0x50) 字节
000000: 13 FF C8 B7 64 FA 52 F4 C4 FB BD E2 80 33 72 05 | ....d.R......3r. 000010: EF C2 0E EB 49 C1 B7 54 4C E3 C0 59 D9 1A E7 20 | ....I..TL..Y... 000020: E5 3E 38 94 DC BA BF CD 73 B7 FF 23 DB 45 C7 D5 | .>8.....s..#.E.. 000030: F3 94 1C 0D 23 EC 18 74 3F 50 4C 19 87 71 28 45 | ....#..t?PL..q(E 000040: 27 0C 50 D1 14 65 14 86 B4 D5 3E 42 6F 7A F8 74 | '.P..e....>Boz.t
HKEY_LOCAL_MACHINE\SOFTWARE\TEC\Ocular.3\Agent\LASTEXITTIME
新: 类型: REG_BINARY 长度: 8 (0x8) 字节
88 9E 0A 4C F5 3C E3 40 | ...L.<.@
旧: 类型: REG_BINARY 长度: 8 (0x8) 字节
11 06 50 2F F5 3C E3 40 | ..P/.<.@
HKEY_LOCAL_MACHINE\SOFTWARE\TEC\Ocular.3\Agent\LASTTICKCOUNT
新: DWORD: 27387828 (0x1a1e7b4)
旧: DWORD: 27083968 (0x19d44c0)
HKEY_LOCAL_MACHINE\SOFTWARE\TEC\Ocular.3\Agent\SYNCTIME
新: 类型: REG_BINARY 长度: 16 (0x10) 字节
F7 58 39 47 35 59 39 47 20 FE FF FF 00 00 00 00 | .X9G5Y9G .......
旧: 类型: REG_BINARY 长度: 16 (0x10) 字节
05 58 39 47 42 58 39 47 20 FE FF FF 00 00 00 00 | .X9GBX9G .......
Gavin001 2007-11-13
- 打赏
- 举报
up
