Ich möchte überprüfen, welche Geräte in den letzten 30 Tagen an meinen Computer angeschlossen waren.
Gibt es eine Möglichkeit, den Verlauf der angeschlossenen USB-Geräte (einschließlich Datenträgername) in Windows 7 anzuzeigen?
Antwort1
Sie sind im Bereich Forensik tätig, also sollten Sie bei Google danach suchen. Das Problem bei einigen dieser Dinge ist, dass sie nicht offiziell dokumentiert sind. Alle externen Geräteinformationen, auch wenn sie zuvor angeschlossen wurden, werden jedoch in bestimmten Registrierungsschlüsseln aufgezeichnet. Der Trick besteht darin, herauszufinden, welche und in welchem Format.
Es ist schon eine Weile her, aber ich erinnere mich, dass es so angefangen hat:
HKLM\System\MountedDevices
Das Format für jeden Schlüssel ist REG_BINARY, es handelt sich jedoch um 16-Bit-Text. Es gibt GUIDs für jedes angeschlossene Gerät, den Namen des Geräts und seine Seriennummer.
Ohne es tatsächlich selbst zu tun, kann ich Ihnen einige Beispiele geben. Zum Beispiel:
Name: \??\Volume{c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID...}
Wenn ich die Daten in REG_BINARY dekodiere, erhalte ich eine GUID, die beispielsweise auf Folgendes verweist:
Name: „\DosDevices\E:“ REG_BINARY ..... (dieselbe GUID hier irgendwo)
So erhalten Sie die Details und die Seriennummer vom ersten und können im zweiten sehen, wo es angeschlossen war. Die GUID kann auch verwendet werden, um dasselbe USB-Gerät und seine Seriennummer in anderen Schlüsseln zu finden, und zwar:
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{GUID}
Kurz gesagt, einige andere Schlüssel, die für Sie von Interesse sein könnten:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Wenn eine GUID aus dem Schlüssel „HKLM\SYSTEM\MountedDevices“ mit einer GUID in diesem Schlüssel übereinstimmt (für diesen Benutzer – es ist HKCU, nicht HKLM), dann zeigt dies an, welcher Benutzer angemeldet war, als dieses bestimmte USB-Gerät angeschlossen wurde. Die „Letzte Schreibzeit“ steht hier auch irgendwo.
HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\
Die Unterschlüssel hier (wieder GUID) enthalten den Gerätenamen, seine Seriennummer und andere GUID-Unterschlüssel. Außerdem wird eine Zeitleiste erfasst, in der angegeben wird, wann jedes Gerät angeschlossen und später entfernt wurde.
Ich bin nicht mit tatsächlichen Beispielen in die Tiefe gegangen, da ich REG_BINARY dekodieren müsste, aber ich kann diesen Beitrag noch einmal bearbeiten und Details hinzufügen, wenn Sie es wünschen. Beachten Sie, dass ich REG QUERY verwendet habe, um dies zu vertiefen, aber ich habe gerade bemerkt, dass regedit die Details für Sie dekodiert, wenn Sie auf einen Schlüssel doppelklicken (nicht bearbeiten!!)