Quiero comprobar qué dispositivos se conectaron a mi computadora en los últimos 30 días.
¿Hay alguna forma de ver el historial de los dispositivos USB conectados (incluido el nombre del volumen) en Windows 7?
Respuesta1
Estás en el área de Ciencias Forenses, así que eso es lo que debes buscar en Google. El problema con algo de esto es que no está documentado oficialmente. Sin embargo, cualquier información del dispositivo externo, incluso si está previamente adjunta, se registrará en determinadas claves de registro. El truco consiste en averiguar cuál y en qué formato.
Ha pasado un tiempo pero recuerdo haber comenzado con:
HKLM\Sistema\Dispositivos montados
El formato de cada clave es REG_BINARY pero es texto de 16 bits. Hay GUID para cada dispositivo que se ha conectado, el nombre del dispositivo y su número de serie.
Sin realmente salir a hacerlo yo mismo, puedo darles algunos ejemplos. P.ej:
Nombre: \??\Volumen{c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID...}
Si decodifico los datos en REG_BINARY, obtendría un GUID que haría referencia cruzada a, por ejemplo,
Nombre: “\DosDevices\E:” REG_BINARY ..... (el mismo GUID aquí en alguna parte)
Entonces obtendrías los detalles y el número de serie del primero y verías dónde estaba conectado en el segundo. El GUID también se puede utilizar para encontrar el mismo dispositivo USB y su número de serie en otras claves, específicamente:
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{GUID}
En resumen, algunas otras claves que te interesan:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Si un GUID de la clave “HKLM\SYSTEM\MountedDevices” coincide con un GUID en esta clave (para este usuario, es HKCU, no HKLM), indica qué usuario inició sesión cuando se conectó ese dispositivo USB en particular. La "Última hora de escritura" también está aquí en alguna parte.
HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\
Las subclaves aquí (GUID nuevamente) incluyen el nombre del dispositivo, su número de serie y otras subclaves GUID. También se captura una línea de tiempo de cuándo se conectó cada dispositivo y luego se eliminó.
No he profundizado en ejemplos reales ya que necesitaría decodificar REG_BINARY pero puedo reeditar esta publicación y agregar detalles si lo desea. Tenga en cuenta que estaba usando REG QUERY para profundizar en esto, pero acabo de notar que regedit decodificará los detalles si hace doble clic en una tecla (¡no la edite!)