3,881
社区成员
发帖
与我相关
我的任务
分享如何查看同一个U盘每次在同一台电脑上的插拔记录
我用了UsbViewer、USBlogview、USBdeview、usbhistory这些工具,都只能查到我第一次插入U盘和最近一次拔出U盘的时间,而查不到这之间的记录,有人知道怎么查到这之间的记录吗?我知道有些电脑取证软件可以查到,即使重装系统,这些软件也能查到重装系统之前的U盘使用记录。我用Procmon监控过一个涉密软件,发现它是读系统盘,然后分析文件,但是没有监控到它分析的是哪个文件?有没有人知道啊?求各位大神帮助!
...全文
请发表友善的回复…
发表回复
李窵虒 2020-03-28
- 打赏
- 举报
注册表里面
• 所有连接过系统的USB移动设备都会在注册表中留下记录,例如,USB连接计算机后会在HKLM\System\CurrentVersionSet\Enum\USB位置创建子键“VID_XXXX&PID_XXXX”
• 在子键HKLM\System\CurrentVersionSet\Enum\USBSTOR可以看到设备的品牌信息,其中FriendlyName对应的数据就表示设备名
• 注册表会记录每次修改键值的时间戳(LWT),可以通过以txt格式导出·\Enum\USB下的子踺(系统会自动最近写入时间),来查看UsB最后连入计算机的时间。
ericmmm2016 2018-09-11
- 打赏
- 举报
我也是面临同样的问题,请问你后来找到办法查看同一个U盘在电脑上的插拔记录了么?你在帖子中说,电脑取证软件可以识别,请问你是什么样的电脑取证软件呢?
ZLANBL085321 2017-03-03
- 打赏
- 举报
这个文件只是记录第一次插入U盘的信息,重装系统后就查不到了。
赵4老师 2016-12-16
- 打赏
- 举报
百度搜相关关键字。
Dobzhansky 2016-12-16
- 打赏
- 举报
在 c:\windows\inf\ 下搜 setupapi*.log 看看
Dobzhansky 2016-12-16
- 打赏
- 举报
重装系统也能查到,太牛叉了
帮顶
帮顶
ZLANBL085321 2016-12-16
- 打赏
- 举报
我已经百度、google好几天了,都没有找到能达到这个效果的办法,他们提到的从注册表、系统日志,都只能获取第一次和最后一次,中间的使用情况获取不到。
