作為**單位，每回的**檢查USB檢查是重點 ， 但是現在網上到處都是清除工具，而專業的檢查工具又貴還不一定好用，為給各位檢查人員提供點好用的工具 。今天給大家貢獻一下本人的觀點 。下一步做一個專業工具放出來共享 。本文只代表個人觀點，有意見的可以隨時拍我 。
USB是一種外部總線標準,, 用于電腦與外部設備的連接和通訊 。典型的USB設備主要包括U盤、移動硬盤、數碼相機、掃描儀、圖像設備、打印機、鍵盤和鼠標等 。
目前大家都是利用工具抽取出的USB設備信息, 主要包含有設備名稱、設備類型、設備序列號、首次掛載時間及最近一次掛載時間等 。此工具完全依賴注冊表進行信息收集, 在相冊表項被刪除(如即自帶“ 清除痕跡” 功能)的情況下就什么都找不到了 。其實操作系統整體環境分析USB設備使用痕跡還是有很多手段的
環境下調查USB使用痕跡
1.1 基于注冊表調查USB設備使用痕跡
注冊表是USB設備使用痕跡最主要且最重要的來源 。
HKEY_LOCAL_MACHINESYSTEMControlSetXXX(CurrentControSetXXX)EnumUSBHKEY_LOCAL_MACHINESYSTEMControlSetXXX(CurrentControSetXXX)EnumUSBSTORHKEY_LOCAL_MACHINESYSTEMControlSetXXX(CurrentControSetXXX)ControlDeviceClasses{53f56307-b6bf-11d0-94f2-00a0c91efb8b}HKEY_LOCAL_MACHINESYSTEMControlSetXXX(CurrentControSetXXX)ControlDeviceClasses{a5dcbf10-6530-11d2-901f-00c04fb951ed}
其中和表示的是注冊表中的類似于 、、 這樣的子鍵（ 子鍵一般只有一個如何獲取當前日期系統c，特殊情況下可能有等多個，同樣的一般只有和這兩個 ， 特殊情況下可能會有多個），保存的是系統的當前的一些配置信息，而等則是對當前配置信息的備份，一般注冊表都會有兩個以上的備份，有的時候可能會有更多 。在中的信息和中的信息一般都是一樣的 ， 所以在檢測和刪除 USB 存儲設備信息時 ， 不僅要檢測子鍵如何獲取當前日期系統c，也要檢測子鍵 。Enum下的USB表鍵使用VID_v(4)& PID_d(4)格式描述USB設備 。其中, v(4)代表4個數字的銷售商代碼(由 USB協會分配給各銷售商); d(4)代表4個數字的產品代碼(由銷售商分配給其生產的產品) 。
表鍵則使用Disk& & & Rev_r(4)格式進行描述 。表示制造廠商, 表示設備類型, r(4)則為修正碼 。工具即基于表鍵進行信息抽取, 因此獲取到的序列號通常情況下并不完全準確 。值得一提的是, 如USB設備中未包含有序列號信息, 則會通過系統自動生成的字符串標識該設備 。USB表鍵和表鍵均未包含掛載的時間信息, 實際上此處時間信息是以屬性形式進行存儲的 。選擇以序列號為名稱的子鍵, 單擊右鍵選擇“ 導出” , 并將“ 保存類型” 選為“ 文本文件” , 打開保存后的文本文件即可獲得時間信息 。還需要指出的是, 表鍵下有一名為鍵值, 該鍵值數據通過關聯表鍵可以指示出USB設備的盤符信息 。表鍵下的信息只會存儲最近一次掛載的鍵值信息, 無法追溯盤符分配的歷史記錄 。7注冊表中則不再含有鍵值, 而是通過設備序列號與表鍵關聯, 以確定盤符 。
7、10中最新設置的UMB表鍵為追蹤USB設備提供了更大的便利[2] 。該表項涵蓋了USB和表鍵的重要信息, 同時指示出USB設備被分配的盤符, 彌補了表鍵的不足 。對于來說，該子鍵下存儲的是以 GUID 分類的設備信息，其中有幾個是和 USB 設備有關的（它們在微軟的 USB 和存儲設備輸入輸出控制頭文件 .H 和.H 中定義，有興趣自己到MSDN上去看）：
{A5DCBF10-6530-11D2-901F-00C04FB951ED} GUID_DEVINTERFACE_USB_DEVICE{3ABF6F2D-71C4-462A-8A92-1E6861E6AF27} GUID_DEVINTERFACE_USB_HOST_CONTROLLER{F18A0E88-C30C-11D0-8815-00A0C906BED8} GUID_DEVINTERFACE_USB_HUB{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} GUID_DEVINTERFACE_DISK
1.2 基于系統文件調查USB設備使用痕跡
7、10系統分區下的\inf.dev.log文件( XP環境下則為 set upapi.log)包含有關設備更換、驅動程序更改和重要系統修改等數據 。該文件記載有制造廠商、設備類型、設備序列號、首次掛載時間等詳細的USB設備信息 。基于該文件進行分析一般可以獲得與注冊表同樣的效果
7、10事件日志增加了對USB設備的審核 。查詢日志也可知道 。日志檢索是檢查的最有效的手段 。
為了方便計算機用戶快速查找最近使用過的文件, 操作系統設置了文件夾, 該文件夾默認存放路徑為Users\\\( XP下則為Docu ments and \) 。文件夾有隱藏屬性, 只有在文件夾選項中取消“ 隱藏受保護的操作系統文件” 后, 才能正常查看文件夾 。文件夾下存放的實際是文件(或文件夾及應用程序)的快捷方式文件, 其擴展名為lnk 。此類快捷方式文件包含的有目標文件屬性及用戶操作信息, 這些信息會跟隨用戶行為改變而發生改變 。利用WFA( File )工具解析出的內嵌于快捷方式文件中的目標文件信息, 主要包括目標文件路徑、創建時間、修改時間、訪問時間等 。
另外,7以后為實現跳轉列表功能而設置了擴展名為s-ms的文件(Users%%\\\ 文件夾下), 利用此類文件同樣可以分析出與文件夾下快捷方式文件類似的痕跡信息 。
.db是操作系統用于緩存圖標的文件, 在 7系統中該文件位于C:Users\Local文件夾下(在 XP系統中該文件則存放在C: and \ LocalData下) 。.db是隱藏文件, 需要在文件夾選項中顯示所有文件和文件夾才能正常查看 。操作系統利用Icon Cache.db文件緩存圖標信息, 實現在特定文件夾下快速展現文件圖標, 以減輕系統重新解析所造成的負擔 。
用戶使用系統的過程中, 系統會逐漸向.db文件添加文件圖標、文件存儲路徑等信息 。當用戶把USB存儲設備連接至計算機系統后, 如果USB存儲設備的根目錄下包含可執行程序, 無論它是否運行, 其文件名稱、圖標、存儲位置、USB設備盤符等信息就會自動添加至.db數據庫中 。此外, 如果用戶瀏覽的文件夾含有可執行程序, 也會自動追加相應信息 。基于.db文件分析USB設備使用痕跡的局限是需要對應文件夾下有可執行程序, 并且只能分析出盤符信息 。
當然這些操作，在結合數據恢復技術，基本上痕跡就很難藏得住了 。
【Windows下調查USB使用痕跡方法研究】本文到此結束，希望對大家有所幫助 。

• 有哪些好看的番劇推薦一下 ?有什么番劇推薦
• 并非為情所傷 ?張云雷事件墜臺是怎么回事，喝多了掉下去了
• 考教師，新課改得了解，新課程背景下的教育觀考點解析及練習題
• ?沈騰說馬麗背影好看，下一秒說像大蛤蟆，網友：怕不是下秒就挨懟
• ?立春的下一個節氣是什么
• ?換下來的舊國旗怎么處理
• 曹操帳下第一猛將典韋，其死亡不是個意外！ ?典韋簡介
• 附常用快捷鍵 adobe全家桶下載使用安裝及應用場景
• 下 如何通過上市公司財務指標選股？
• ?炒西芹用不用焯一下水