接続されたUSBデバイスの履歴

あなたはフォレンジックの分野にいるので、Google でそれを探す必要があります。このうちのいくつかの問題は、公式に文書化されていないことです。ただし、外部デバイスの情報は、以前に接続されていた場合でも、特定のレジストリ キーに記録されます。重要なのは、どの情報がどのような形式で記録されているかを見つけることです。

かなり前のことですが、次のように始まったのを覚えています。

HKLM\System\マウントされたデバイス

各キーの形式は REG_BINARY ですが、16 ビットのテキストです。接続されている各デバイスの GUID、デバイス名、シリアル番号があります。

実際に自分でやってみるまでもなく、いくつか例を挙げることができます。例えば:

名前: \??\Volume{c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID...}

REG_BINARYのデータをデコードすると、例えば次のような相互参照のGUIDが得られます。

名前: “\DosDevices\E:” REG_BINARY ..... (ここに同じ GUID がどこかにあります)

つまり、最初のキーから詳細とシリアル番号を取得し、2 番目のキーで接続場所を確認します。GUID は、他のキーで同じ USB デバイスとそのシリアル番号を見つけるためにも使用できます。具体的には、次のとおりです。

HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{GUID}

簡単に言うと、あなたにとって興味深い他のいくつかのキーは次のとおりです。

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

「HKLM\SYSTEM\MountedDevices」キーの GUID がこのキーの GUID (このユーザーの場合は HKCU であり、HKLM ではありません) と一致する場合、その特定の USB デバイスが接続されたときにどのユーザーがログインしていたかを示します。「最終書き込み時刻」もここにあります。

HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\

ここでのサブキー (再び GUID) には、デバイス名、シリアル番号、およびその他の GUID サブキーが含まれます。各デバイスが接続され、その後取り外されたときのタイムラインもキャプチャされます。

REG_BINARY をデコードする必要があるため、実際の例を詳しく調べていませんが、必要に応じてこの投稿を再編集して詳細を追加できます。注: 私は REG QUERY を使用してこれを詳しく調べていましたが、キーをダブルクリックすると regedit で詳細がデコードされることに気付きました (編集しないでください!!)