Quero verificar quais dispositivos foram conectados ao meu computador nos últimos 30 dias.
Existe alguma maneira de visualizar o histórico de dispositivos USB conectados (incluindo o nome do volume) no Windows 7?
Responder1
Você está na área de Perícia, então é isso que você deve procurar no Google. O problema com parte disso é que não está oficialmente documentado. Porém, quaisquer informações de dispositivos externos, mesmo que previamente anexados, serão registradas em determinadas chaves de registro. O truque é descobrir qual e em que formato.
Já faz um tempo, mas lembro de começar com:
HKLM\Sistema\Dispositivos Montados
O formato de cada chave é REG_BINARY, mas é um texto de 16 bits. Existem GUIDs para cada dispositivo conectado, o nome do dispositivo e seu número de série.
Sem realmente sair e fazer isso sozinho, posso dar alguns exemplos. Por exemplo:
Nome: \??\Volume{c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID...}
Se eu decodificar os dados em REG_BINARY, obterei um GUID que faria referência cruzada para, digamos,
Nome: “\DosDevices\E:” REG_BINARY ..... (mesmo GUID aqui em algum lugar)
Assim, você obteria os detalhes e o número de série do primeiro e veria onde ele estava conectado no segundo. O GUID também pode ser usado para localizar o mesmo dispositivo USB e seu número de série em outras chaves, especificamente:
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{GUID}
Resumindo, algumas outras chaves de seu interesse:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Se um GUID da chave “HKLM\SYSTEM\MountedDevices” corresponder a um GUID nesta chave (para este usuário - é HKCU, não HKLM), então indica qual usuário estava conectado quando aquele dispositivo USB específico foi conectado. O “Último horário de gravação” também está aqui em algum lugar.
HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\
As subchaves aqui (GUID novamente) incluem o nome do dispositivo, seu número de série e outras subchaves GUID. Uma linha do tempo de quando cada dispositivo foi conectado e posteriormente removido também é capturada.
Não me aprofundei nos exemplos reais, pois precisaria decodificar o REG_BINARY, mas posso reeditar esta postagem e adicionar detalhes, se desejar. Observe que eu estava usando REG QUERY para me aprofundar nisso, mas acabei de notar que o regedit decodificará os detalhes para você se você clicar duas vezes em uma tecla (não edite!!)