Я хочу проверить, какие устройства были подключены к моему компьютеру за последние 30 дней.
Есть ли способ просмотреть историю подключенных USB-устройств (включая имя тома) в Windows 7?
решение1
Вы находитесь в области Forensics, поэтому это то, что вам следует искать в Google. Проблема с некоторыми из них в том, что это официально не документировано. Однако любая информация о внешнем устройстве, даже если оно было ранее подключено, будет записана в определенных разделах реестра. Хитрость в том, чтобы выяснить, какие именно и в каком формате.
Прошло много времени, но я помню, что начиналось так:
HKLM\System\MountedDevices
Формат каждого ключа — REG_BINARY, но это 16-битный текст. Для каждого подключенного устройства есть GUID, имя устройства и его серийный номер.
Не делая этого лично, я могу привести вам несколько примеров. Например:
Имя: \??\Volume{c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID...}
Если я декодирую данные в REG_BINARY, я получу GUID, который будет ссылаться, скажем, на
Имя: «\DosDevices\E:» REG_BINARY ..... (такой же GUID где-то здесь)
Таким образом, вы получите данные и серийный номер из первого и увидите, куда он был подключен во втором. GUID также можно использовать для поиска того же USB-устройства и его серийного номера в других ключах, а именно:
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{GUID}
Вкратце, еще несколько ключей, которые могут вас заинтересовать:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Если GUID из ключа «HKLM\SYSTEM\MountedDevices» совпадает с GUID в этом ключе (для этого пользователя - это HKCU, а не HKLM), то указывает, какой пользователь был в системе, когда было подключено это конкретное USB-устройство. «Время последней записи» также где-то здесь.
HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\
Подключи здесь (снова GUID) включают имя устройства, его серийный номер и другие подключи GUID. Также фиксируется временная шкала того, когда каждое устройство было подключено и затем удалено.
Я не углублялся в реальные примеры, так как мне нужно было бы расшифровать REG_BINARY, но я могу перередактировать этот пост и добавить подробности, если вы хотите. Обратите внимание, что я использовал REG QUERY, чтобы разобраться в этом, но я только что заметил, что regedit расшифрует подробности для вас, если вы дважды щелкните по ключу (не редактируйте его!!)