連接的 USB 裝置的歷史記錄

您正在進入取證領域，因此您應該在 Google 中尋找相關內容。其中一些問題是它沒有正式記錄。但是，任何外部設備資訊（即使先前已連接）都會記錄在某些註冊表項中。訣竅是找出哪種格式以及採用什麼格式。

已經有一段時間了，但我記得開頭是：

HKLM\系統\已安裝設備

每個鍵的格式為 REG_BINARY，但它是 16 位元文字。每個已連接的設備都有 GUID、設備名稱及其序號。

我可以給你一些例子，而無需親自動手。例如：

名稱： \??\Volume{c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID...}

如果我解碼 REG_BINARY 中的數據，我會得到一個可以交叉引用的 GUID，例如

名稱："\DosDevices\E:"REG_BINARY .....（此處某處有相同的 GUID）

因此，您可以從第一個中獲取詳細資訊和序號，然後在第二個中查看它的連接位置。 GUID也可以用於在其他Key中找到相同的USB設備及其序號，具體來說：

HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{GUID}

簡而言之，您感興趣的其他一些關鍵點：

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

如果「HKLM\SYSTEM\MountedDevices」項目中的 GUID 與此項目中的 GUID 相符（對於該使用者 - 是 HKCU，而非 HKLM），則指示連接該特定 USB 裝置時哪個使用者登入。 「最後寫入時間」也在這裡某處。

HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\

這裡的子項目（再次是 GUID）包括設備名稱、其序號和其他 GUID 子項目。也捕獲每個設備連接和隨後移除的時間軸。

我還沒有深入研究實際範例，因為我需要解碼 REG_BINARY，但如果您願意，我可以重新編輯這篇文章並添加詳細資訊。請注意，我正在使用 REG QUERY 來深入研究這個問題，但我剛剛注意到，如果您雙擊某個鍵，regedit 將為您解碼詳細資訊（不要編輯它！！）