Windows操作系统环境下调查USB设备使用痕迹方法研究
usb设备管理
USB设备管理引言USB(通用串行总线)是一种常见的计算机外部设备连接接口,被广泛应用于个人电脑、笔记本电脑、移动设备等。
USB设备管理是指对连接到计算机的USB设备进行控制、监测和配置的一系列操作和管理任务。
本文将介绍USB设备管理的概念、常见任务和一些实用的工具和技巧。
USB设备的连接与识别当USB设备连接到计算机时,计算机系统会自动进行设备的识别与配置。
USB设备管理的第一步是确保设备正确连接并被识别。
在Windows操作系统中,可以通过以下方式来检查设备的连接与识别情况:1.打开“设备管理器”:在开始菜单中搜索并打开“设备管理器”。
2.寻找设备:在设备管理器中查找“通用串行总线控制器”下的设备列表,其中包括已连接的USB设备。
3.检查设备状态:通过设备列表中的设备状态来确认设备是否正常连接并被识别。
常见状态包括“正常工作”、“有问题”等。
如果设备正常连接但无法被识别,可以尝试以下方法进行排除:•重新插拔设备:有时设备连接不稳定或驱动程序出现问题,重新插拔设备可以尝试解决问题。
•更新驱动程序:访问设备制造商的官方网站,下载并安装最新的设备驱动程序。
•解决冲突:如果设备与其他设备存在冲突,可能导致设备无法正常工作。
可以通过设备管理器中的“更新驱动程序”功能来解决冲突。
USB设备驱动程序管理USB设备管理的另一个重要方面是驱动程序管理。
驱动程序是用于让计算机系统与USB设备进行交互的软件。
在大多数情况下,计算机系统会自动安装适当的驱动程序来支持连接的USB设备。
然而,有时驱动程序可能不正确或过时,导致设备无法正常工作。
以下是一些常见的USB设备驱动程序管理任务:1.更新驱动程序:访问设备制造商的官方网站,下载并安装最新的设备驱动程序。
这可以解决一些设备兼容性问题和错误。
2.卸载驱动程序:如果设备无法正常工作,可以尝试卸载设备的驱动程序,并重新安装驱动程序。
这将清除可能存在的错误或损坏的驱动程序。
查询电脑使用痕迹的方法
查询电脑使用痕迹的方法查询电脑使用痕迹的方法通常包括以下几种:1. 查看开关机时间的记录:通过事件查看器可以查看电脑的开机和关机时间,这可以帮助你了解电脑的使用情况。
按下Win+R键打开运行对话框,输入“eventvwr.msc”命令并回车,然后在事件查看器中展开“Windows 日志”—选择“系统”,在右侧窗口中查看相关记录。
2. 查看最近使用过的文件和应用程序:Windows系统中有一个“Recent”文件夹,可以显示最近使用过的文件。
此外,通过Prefetch 文件夹也可以查看最近运行的程序。
浏览器的历史记录也会保存网页访问的痕迹。
3. 通过任务管理器查看使用记录:任务管理器可以显示当前正在运行的程序和服务,以及它们的使用情况。
按下Ctrl+Alt+Delete键打开任务管理器,从中可以查看到一些使用记录。
4. 第三方软件:还可以使用第三方系统监控软件来查看电脑的使用记录,这些软件通常提供更详细的信息,包括应用程序使用情况、键盘输入记录、屏幕截图等。
5. 查看安全软件的日志:如果你的电脑上安装了安全软件,如杀毒软件或防火墙,它们的日志文件中也可能包含有关电脑使用的信息。
6. 查看命令历史:对于使用命令行的用户,可以通过查看命令行的历史记录来了解之前执行过哪些命令。
7. 查看网络活动:通过查看网络连接状态和路由器日志,可以了解电脑的网络活动情况。
8. 查看用户账户活动:在“用户账户”设置中,可以查看到不同用户的登录和注销时间。
9. 查看电源使用情况:电源选项中通常会有电源使用情况的记录,这也可以从侧面反映出电脑的使用情况。
10. 查看打印机队列:如果电脑连接了打印机,打印机队列中的打印任务也可以反映出一定的使用情况。
11. 查看剪切板历史:有些剪切板管理工具会保存剪切、复制和粘贴的历史记录。
12. 查看文件和文件夹的历史版本:如果启用了文件历史或者使用了版本控制系统,可以查看文件和文件夹的历史版本。
跟踪USB存储:分析USB存储设备所产生的Windows历史记录
跟踪USB存储:分析USB存储设备所产生的Windows历史记录关键词:USB存储Windows历史记录设备ID即插即用管理物理设备对象摘要当一个USB存储设备(比如一个U盘)连接到Windows系统时,系统就会创建一些标识符。
这些标识符,也称作历史记录,在系统关闭时仍然存在。
在许多情况下,这些历史记录可能被用来识别曾经连接到Windows系统的特定设备,以对存在的问题进行取证。
2005年爱思唯尔股份有限公司出版引言通用串行总线(USB)是允许将多种设备连接到计算机系统上的一种机制。
随着各种各样的设备通过USB连接到一台计算机上已经变得很普遍,本文仅限于那些可选择的、可移动的存储介质。
这不仅包括标准的“U盘”,还包括数码相机、个人媒体播放器以及伪装了的存储设备,比如一把包括数字存储空间和其它特征的瑞士小刀。
这种存储介质为用户快速交换文件提供了前所未有的便利。
近几年这种设备的价格疯狂下跌,但是其存储密度却有很大的提高。
这种存储设备在给用户带来方便的同时,也带来了不可忽视的安全风险,特别是在企业环境中。
这种容量大体积小的存储设备为下载和窃取大量隐私和敏感的信息提供了掩护。
一张标准的3.5英寸软盘虽然很容易藏在衣服的口袋里,但它只能存储1.44MB的数据,而一个拥有1GB甚至更大存储空间的U盘可以很容易的藏起来,并且可以容得下整个数据库。
许多数码相机在Windows系统中被用作标准的存储媒体,并且标有盘符,还可以像U盘一样使用。
为了提供从一个系统中转移数据的方法,USB存储设备可以将外部代码输入到另外的受保护的系统或者网络。
在限制了像防火墙和入侵检测系统等边界防御程序效率的情况下,终端用户如果使用了未经检查或未被监控的USB存储设备时,恶意的代码可能会在无意中或以其它方式引入。
当一个USB存储设备连接到一个Windows系统时,这个系统上的驱动器会收集这个设备的信息,然后它会利用这些信息在这个系统上建立一个独立的历史记录。
如何手动彻底消除U盘使用痕迹
如何手动彻底消除U盘使用痕迹(2009-11-12 172234)一、原理有人说,这样不如用软件来清除啦,如USBClear,UsbCleaner,UsbViewer 等。
我试过,可以告诉你,上面这3个软件不管用!用专门检测工具一样可以查出来。
就拿像上网痕迹来说吧,就算你怎样清除、重装、格式化硬盘,专门的检测工具一样也可查到,而且上网记录是从你第一次使用IE开始,我给自己的电脑深度检测了一下,结果是2003年的上网记录也出来了,无奈啊。
没办法啦,近来检查多,刚好手头上有这类检测工具,所以也来研究一下。
通过检测工具检测发现USB使用记录是从重装系统那天开始记录的。
那如果重装可以消除,即说明,USB使用记录的确是保存在系统盘中,可以清除。
但上网记录就没办法清了,我想非低格不可,但没试过。
查阅过网上有许多资料,发现下面这个内容有用,所以就拿来分享了,呵呵。
作为操作系统,它不会保存无意义的U盘使用痕迹(如果故意设置后门当然不同),这些相关痕迹实际应该是操作系统快速识别移动存储设备必须的信息。
Windows一般使用注册表来存储这样的信息,但是对于系统的重要更改,一般也会保留.log的日志以方便排错。
对于计算机系统来说,U盘这样一个东西,实际是多个设备协同工作的系统。
这样一个系统包括通用串行总线-USB设备(含USB接口大容量存储设备-USB Mass Storage Device)、磁盘驱动器、存储卷。
从用户角度看,应该顺序是反过来的。
首先关心的是实际存储数据的卷。
那么,操作系统必须为用户关心的卷保留指向具体设备的信息。
对于每款U盘,厂方会写入制造商和产品信息,文本形式表示为Ven_XXXX&Prod_XXXX;数字形式表示为Vid_nnnn&Pid_nnnn;制造商和产品的ID均为4位16进制数字,加上四位版本号,对于一款产品可以用12位16进制硬件编号来表示,也就是24bit 长度ID,跟网卡的MAC有点类似) (为什么硬件设备中24位长经常出现呢),不过与MAC地址不同,U盘是以32bit厂的2进制数作为唯一标识的。
Windows环境下痕迹的提取与行为分析
制 了该用 户的 计算机 ,因此 攻击 者经 常通 过 控 制被 攻 击者 的注册 表来 控制 其 计算机 ,如 通 过 修改 启动项 等 ,就很 容易启 动攻 击者 的
AC Mr u \ 5 6 0 3中 。复制或粘贴数据时 ,这些数 2 . 1痕迹监控的环境 据会暂时遗 留在 内存 中。大部分程序运 行时 都 会产生临时文件 ,这些被放在系统和用户 的临
时 目录 中 。 要 进 行 痕 迹 的 分 析 , 首 先 要 做 的 是 搭 建
实验 的环境 。搭建 实验环境 需要一 台虚拟机 ,
台 下 的痕 迹 提 取 和 分 析 。
【 关键 词】信 息安全 用户使用痕迹 痕迹提取 构 ,它包含 了两 个可以隐藏的重要记录 类型。
分 析 行 为分 析
第 1个类 型是键 ,第 2个是键值。由于注册表 的结 构,隐藏注册键 比隐藏文件 和进程 要复杂
一
VMwa r e Wo r k s t a t i o n允 许 操 作 系 统和 应 用程 序在 一台虚 拟机 内部 运行 。虚 拟机 是独 立运行主机操作系统的离散环境 。在 VMwa r e
放或遗留于 内存 、注册表 、文件 、隐藏 目录或
者 硬 盘 的 空 白区 域 。根 据 计 算 机 使 用 情 况 ,可
个 函数 ) ,它们所 做的工作 基本一样 ,都 是使 虚拟机,它可以运 行 自己的操作 系统和应用程
用 索 引 获 取键 / 键 值 ,并 返 回一 个 缓 冲 区 指 针 。 序 。 你 可 以 在运 行 于桌 面 上 的 多 台虚 拟 机 之 问
检查USB设备的使用记录
检查USB设备的使用记录打开注册表,删除:1)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \DeviceClasses\{53f56307-b6b f-11d0-94f2-00a0c91efb8b}下的所有项2)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB 下所有Vid开头的项3)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB STOR 下的所有Disk&Ven开头的项4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Us bFlags 下所有项5)删除c:\windows\setupapi.log 文件不良影响:之前使用过的USB设备要重新识别一遍才能使用。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \DeviceClasses\{53f56307-b6b f-11d0-94f2-00a0c91efb8b}下的所有项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ USB 下所有Vid开头的项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB STOR 下的所有Disk&Ven开头的项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \UsbFlags 下所有项c:\windows\setupapi.log 文件运行Usblog.exe,会在桌面上生成一个txt文件,里面记录了你电脑上所有使用过的USB 设备的信息。
可以看看是不是有人在你不知道的时间用过U盘等工具拷贝你的资料。
Windows系统USB历史痕迹分析
报警信息, 并通 过更新客户端注 册表文件的方法 , 阻止终端 联 监控 发现连接互联网行为, 安全保密管理系统都能够 向安
应用该违规U B S 设备。 全保密管理员发 出报警信息并同时记录违规 日志。
4 违 规处理 涉密文件发现
核心 在 于对 当前 文 档 信 息进 行 实 时监 控 , 系统 最近
U i e s l e i l U 通 用串行 总线 ) I t l n v r a S r a B S( 是 n e、
备 生产商P I在前。 VD 记录形成机制
Mc oot ir s 与有
限的主板插槽 和端 口之 间的矛盾而于1 9 年提 出制定的。 95 它
构。
当U B S 存储设备通 过U B 口连接 ̄ W n o S S接 O i d w 系统时, 操
确切描述符, 以确定设备的制造商、 版本号、 设备种类 以及其
是一种用 于将适用U B S 的外 围设备连 接到主机 的外部总线结 作系统查找新硬件的附加 信息 , 驱动 器就会寻求这个设备的 UB S 显著优 点就 是支持热 插拔 , 论上可以支持 1 7 理 2 个 他信息。 如果U B S 集线器驱动发现一个新 的U B S 设备连接到这
就会按照如下格式创建设备实例标 识符 ( 设备I): S WI— 通 过浏览器访 问过的网址、 问时间、 D UB D 访 历史记录等信息。 实际
v4& I_ ()R V r4。 ()PD d4& E _ ()
上它是一个保存了终端所有c o i 、 o k e 历史记录和I 临时文件 E
通 过对 当前 系统 内H E - O A - A H N \ y t m 中所记录 内容 的副本 。 K YLC LM C IES se\ 并且id xd t n e .a文件是被系统保护的, C r e to t oS tE u \ S 键值的实时分析和检索, u r n C n r le\ n mU B 如果 即使在 I 中把这些 内容 都清除了, i dx d t ̄ 中的记录 E 但 n e .a 3 如果发现被 管理 终端存在上网痕迹或通过违规外 发现 与预定义合法 U B S 线索不一致情况 , 则在 服务器端产生 还是存在。
编写 USB 存储设备使用痕迹检测和删除工具
编写 USB 存储设备使用痕迹检测和删除工具(C# Windows Form 编程练习)第一节准备知识之前一直都是用 Visual Basic .Net 来写 Windows Form 程序。
这几天,熟悉了一下 C# 语言的语法,想练习一下。
以前使用过一些 USB 存储设备使用痕迹检测和删除工具,于是想写了一个小工具来模拟这些功能。
USB 存储设备在使用后会在注册表留下一些记录,一般是通过检索相应的注册表键值来检查使用痕迹。
这些键值包括:[csharp]view plain copy print?1.HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USB2.HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USBSTOR3.HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}4.HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USB HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USB STORHKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\ DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\ DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}其中 ControlSetXXX 和 CurrentControlSetXXX 表示的是注册表中的类似于ControlSet001、ControlSet002、CurrentControlSet 这样的子键(CurrentControlSet 子键一般只有一个,特殊情况下可能有CurrentControlSet001 等多个,同样的 ControlSet 一般只有 ControlSet001 和 ControlSet002 这两个,特殊情况下可能会有多个),CurrentControlSet 保存的是系统的当前的一些配置信息,而 ControlSet001 等则是对当前配置信息的备份,一般注册表都会有两个以上的备份,有的时候可能会有更多。
谈Windows系统下USB存储设备的管理
4屏 蔽方 法
目前 , 电脑 主 板 均 配 置有 多个 U B端 口。 蔽这 些 U B端 口 S 屏 S 的方 法 主要 有 五 种 : ( 使 用 主 板 BO 1 ) I S提 供 的 管 理 功 能 ;
( 采 用 物 理 方 式 对端 口进 行 封 堵 ; 2 1 (对注册表进行修改 ; 3 1 ( 对 U B配 置 文 件 进 行 权 限 管 理 ; 4 ) S ( 使 用 第 三 方 软 件进 行 管 理 。 5 1 41使 用 主 板 BO . I S提 供 的 管理 功能 参 考 各 型 号 的主 板 的 说 明 书 进 行 设 置 . 同 主 板 其 设 置 的方 不 法 不 同 。 合 图片 将 端 口 E ald 项 更 改 为 D sb d即可 ( 图 结 nb 选 e i l ae 如
1 引 言
即 插 即 用 是 lt 开 发 的一 组 规 范 , 允许 计 算 机 自动 检 测 和 ne l 它 配 置 设 备 并 安 装 适 当 的设 备驱 动 程 序 。通 用 串 行 总 线是 支持 即插 即用 安 装 的外 部 总线 ( 被 称 为 U B) 也 S 。使 用 U B时 , 需 要 关 闭 S 不 或重 启 汁算 机 就 能连 接 和 断开 设 备 。 用 一个 U B端 口可 以连 接 使 S 多达 l7个 外 部设 备 。 2 目前 , 移 动 存 储 设 备 大 多 数 利 用 的 就 是 U B 接 口 ( 括 S 包 U B ., S 20等 标 准 ) S 1 UB. 0 。文 中将 移 动 硬 盘 、各类 数 码 扩 展 卡 、 闪 存 、 盘 等 统称 为移 动 存 储 设 备 。 于 U B 口的管 理 , 要从 管 理 优 对 S 需 制 度上 、 术 上 进 行 控 制 , 中 以微 软 的 Widw 操作 系 统 为 例 . 技 文 no s 从 移动 存 储 设 备 的使 用 痕 迹 和 有 效 屏 蔽 通 用 串行 接 口进 行 分 析 . 可 以 看 . S 口移 动 设 备 的使 用 对 于企 业 的计 算 机 管 理 及 保 密 UB T 作具 有 重 要 影 响 。
USB使用痕迹追踪技术
HEKY_LOCAL_MACHINE\SYSTEM\CurrentCtrolSet\Enum\USB下创建一个子键,形式为Vid_1043Pid_8012,第一个4位数据是销售商代码、由USB协会分配给各销售商;第二个4位数字是产品代码,由销售商分配给其生产的产品,这个键的子键记录的就是设备的序列号。序列号子键下有个键值Driver,根据Driver的具体值可以在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class下找到对应GUID下的子键也记录了USB设备的使用信息;序列号子键下还有键值ClassGUID和Service,如果他们的值分别是{36FC9E60-C465-11CF-8056-444553540000}、USBSTOR,说明这个设备是一个USB存储设备;如果ClassGUID的值为{4D36E96D-E325-11CE-BFC1-08002BE10318},则说明是一个Modem设备,如果ClassGUID的值为{6bdd1fc6-810f-11d0-bec7-08002be2092f}则说明是一个摄像头。当为非存储设备时,检查是否存在相同序列号的存储设备,如果存在,说明这是一个通过USB接口可以以不同模式与计算机连接的设备,比较常见的为手机。
USB接口的设备与计算机连接后,会在注册表和系统目录下的日志文件setupapi.log中留下使用痕迹,当设备与计算机断开连接后,这些痕迹依然存在。在保密检查中,这些痕迹被作为USB设备使用的证据被检查出来,证据中包含了USB设备的类型、销售商代码、产品代码、设备序列号等信息。
ห้องสมุดไป่ตู้USB设备使用痕迹在注册表中位置
USB设备使用痕迹在日志文件中的位置
通过日志文件setupapi.log中记录的信息可以获取到USB设备第一次使用时间,第一次使用时间在日志中的存储形式如下,USB设备的其他使用痕迹在日志文件中的存储形式与此类似。
u盘深度鉴定工具
竭诚为您提供优质文档/双击可除u盘深度鉴定工具篇一:如何手动彻底消除u盘使用痕迹如何手动彻底消除u盘使用痕迹人说,这样不如用软件来清除啦,如usbclear,usbcleaner,usbViewer等。
我试过,可以告诉你,上面这3个软件不管用!用专门检测工具一样可以查出来。
就拿像上网痕迹来说吧,就算你怎样清除、重装、格式化硬盘,专门的检测工具一样也可查到,而且上网记录是从你第一次使用Ie开始,我给自己的电脑深度检测了一下,结果是20XX年的上网记录也出来了,无奈啊。
没办法啦,近来检查多,刚好手头上有这类检测工具,所以也来研究一下。
通过检测工具检测发现usb使用记录是从重装系统那天开始记录的。
那如果重装可以消除,即说明,usb使用记录的确是保存在系统盘中,可以清除。
但上网记录就没办法清了,我想非低格不可,但没试过。
查阅过网上有许多资料,发现下面这个内容有用,所以就拿来分享了,呵呵。
作为操作系统,它不会保存无意义的u盘使用痕迹(如果故意设置后门当然不同),这些相关痕迹实际应该是操作系统快速识别移动存储设备必须的信息。
windows一般使用注册表来存储这样的信息,但是对于系统的重要更改,一般也会保留*.log的日志以方便排错。
对于计算机系统来说,u 盘这样一个东西,实际是多个设备协同工作的系统。
这样一个系统包括:通用串行总线-usb设备(含usb接口大容量存储设备-usbmassstorageDevice)、磁盘驱动器、存储卷。
从用户角度看,应该顺序是反过来的。
首先关心的是实际存储数据的卷。
那么,操作系统必须为用户关心的卷保留指向具体设备的信息。
对于每款u盘,厂方会写入制造商和产品信息,文本形式表示为:Ven_xxxx数字形式表示为:Vid_nnnn制造商和产品的ID均为4位16进制数字,加上四位版本号,对于一款产品可以用12位16进制硬件编号来表示,也就是24bit长度ID,跟网卡的mAc有点类似:)(为什么硬件设备中24位长经常出现呢?),不过与mAc地址不同,u盘是以32bit厂的2进制数作为唯一标识的。
如何解决Windows系统中的USB设备连接问题
如何解决Windows系统中的USB设备连接问题USB设备连接问题是使用Windows系统的用户经常遇到的一种困扰。
不论是鼠标、键盘、移动存储设备或其他外部硬件设备,都有可能出现无法正确连接的情况。
本文将介绍几种常见的解决方法,帮助用户解决Windows系统中的USB设备连接问题。
一、检查硬件连接和线缆在排除软件问题之前,首先应该确保硬件连接和线缆没有问题。
请按照以下步骤进行操作:1. 检查USB设备是否与计算机正确连接,并确认线缆连接牢固。
2. 如果使用的是USB集线器,尝试直接将设备连接到计算机的USB接口,以排除集线器可能存在的问题。
3. 尝试使用不同的USB线缆,确保线缆本身没有损坏。
二、更新USB驱动程序USB设备连接问题可能是由于过时的或损坏的USB驱动程序引起的。
可以尝试以下方法更新USB驱动程序:1. 在开始菜单中搜索并打开“设备管理器”。
2. 在设备管理器中找到并展开“通用串行总线控制器”。
3. 右键点击USB根集线器,并选择“更新驱动程序软件”。
4. 选择“自动搜索更新的驱动程序软件”。
系统会自动下载并安装最新的USB驱动程序。
三、重置USB设备权限有时,USB设备连接问题可能是由于权限错误造成的。
以下是一种重置USB设备权限的方法:1. 在开始菜单中搜索并打开“设备管理器”。
2. 在设备管理器中找到并展开“通用串行总线控制器”。
3. 右键点击USB根集线器,并选择“属性”。
4. 在“驱动程序”选项卡的底部,点击“卸载设备”。
5. 在确认卸载窗口中,勾选“删除驱动程序软件”选项,并点击“卸载”。
6. 完成卸载后,重新启动计算机。
四、禁用USB选项节能功能Windows系统中的某些选项节能功能可能会导致USB设备连接问题。
可以按照以下步骤禁用USB选项节能功能:1. 在开始菜单中搜索并打开“电源和睡眠设置”。
2. 在右侧窗口中,点击“附加电源设置”链接。
3. 在方案设置页面中,找到并展开“USB设备”。
Windows系统中的常见USB设备无法识别问题及解决方法
Windows系统中的常见USB设备无法识别问题及解决方法在使用Windows操作系统的过程中,您可能会遇到USB设备无法被系统识别的问题。
这种情况会影响您正常使用设备,给您的工作和娱乐带来不便。
本文将介绍常见的USB设备无法识别问题,并提供相应的解决方法,帮助您解决这一困扰。
1. USB设备连接问题当您连接USB设备时,可能会出现以下几种问题导致设备无法被识别:- USB接口故障:检查USB接口是否正常工作,可以尝试连接其他USB设备进行确认。
- USB线缆松动或损坏:确保USB线缆牢固连接且不出现破损现象,如果检查到损坏,请更换可靠的USB线缆。
- USB设备电量不足:某些USB设备需要足够的电力才能正常运行,检查设备是否带有电池或需要外部电源供应。
2. 驱动程序问题USB设备无法被系统识别的另一个常见原因是缺少或损坏的驱动程序。
为了解决这个问题,可以尝试以下方法:- 更新驱动程序:打开设备管理器,找到与设备相关的驱动程序,右键点击选择“更新驱动程序”,系统将自动搜索并安装最新的驱动程序。
- 卸载驱动程序:如果更新驱动程序没有解决问题,可以尝试卸载驱动程序,然后重新插拔设备,系统会自动重新安装驱动程序。
- 下载官方驱动程序:若无法通过系统自动更新驱动程序或卸载重装驱动程序解决问题,可以前往设备官方网站下载最新的驱动程序进行安装。
3. USB设备冲突问题当多个USB设备同时连接到计算机时,可能会发生设备冲突,导致部分设备无法被识别。
针对这个问题,您可以尝试以下方法:- 拔掉其他USB设备:暂时拔掉所有其他USB设备,只连接待识别的设备,确保计算机只集中处理一个设备的驱动程序。
- 更换USB接口:将USB设备连接到另一个可用的USB接口,避免设备冲突产生的问题。
4. 硬件故障问题如果您经过以上方法尝试,USB设备仍然无法被识别,可能存在硬件故障的可能性。
此时,您可以尝试以下措施:- 更换USB设备:将无法识别的USB设备连接到其他计算机中,如果设备在其他计算机中能正常被识别,那么问题可能出在您的计算机硬件上,可考虑更换设备。
彻底清除USB使用记录
(3)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
2工具,找到该项,修改权限,然后删除子项。另外HKEY_LOCAL_MACHINESYSTEMControl
Set002EnumUSB中的一些和USB Storage Mass设备相关的也要删除删除上述USBSTOR子项后,一般保密检查软件就不能检查了。
如果需要彻底清除USB使用记录,完成上述操作后,可以接着如下的操作过程:
Kill掉。
3. 打开计算机管理,把可移动存储相关的删除。
4. 把1中加入的系统环境变量删除。
到此为止,现在有可能还不能全部删除注册表中的usb使用记录,在HKEY_LOCAL_MACHINE
SYSTEMControlSet002EnumUSBSTOR中仍然可能会有使用记录,然后打开强大的regedt3
(3)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003ቤተ መጻሕፍቲ ባይዱEnum\USBSTOR
(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
2、删除如下USB子项下除ROOT_HUB、ROOT_HUB20外的所有记录。
(3)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
清除USB使用记录
清除USB使用记录只要你的电脑上使用过USB移动存储设备,就会留下痕迹。
这是由于每次插上新的USB硬件设备的时候就会在注册表里面自动的记录下来。
通过使用USBlog,USBviewer之类的软件,可以检测出你电脑中自装系统那天以来的U盘使用记录,包括首次插上、退出U盘的时间,使用的U盘型号等等信息。
知道是怎么回事之后,我们可以按一下步骤:1.往系统里面添加环境变量devmgr_shownonpresent_devices,值为1【方法:点击我的电脑,按右键——属性——高级——环境变量——新建——设“变量名”为“devmgr_shownonpresent_devices”“变量值”为“1”——确定,删除类似】(仅限XP系统,WIN7系统跳到第二步)。
2.打开控制面板→管理工具→计算机管理→设备管理器→点击左上方查看→点“显示隐藏的设备”→选磁盘驱动器、储存卷两处把和优盘有关的删掉。
如果前者弹出硬盘型号属性,后者几个通用卷也弹出通用卷属性,跳到3。
3.打开计算机管理→点可移动存储,把相关的删除。
如果点可移动存储弹出无法启动服务,没事,跳到4。
4.把1中加入的系统环境变量删除。
方法参看1,进入环境变量窗口,选devmgr,删除确定。
5.按开始—运行,在输入框里输入命令:regedit,打开注册表。
WIN7系统找不到“运行”?按win键+R。
win键为ALT键左边,Z下边那个键。
6.删除注册表【删除前应该先备份注册表值,点左上角文件——命名,保存。
恢复时,找到该文件导入即可】中(1)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\US BSTOR(2)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\US BSTOR(3)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\US BSTOR(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ USBSTOR 这些路径下USBSTOR子项的全部下级子项。
彻底删除USB使用记录的方法
彻底删除USB使用记录的方法首先,有几种方法可以查看电脑上使用的USB设备记录:1、无需任何工具软件,手动法:电脑中添加一个环境变量,变量名为“devmgr_show_nonpresent_devices”,值为“1”。
然后在设备管理器中,勾上“查看”菜单中的“显示隐藏设备”。
然后在“磁盘驱动器”、“存储卷”、“通用串行总线控制器”3个栏目下便可看见很多灰色的图标,这些图标就是在此电脑上曾经使用(现在已经拔除,或换USB口位置了)的USB口设备记录。
图标清晰的是正在使用的USB设备。
2、使用USBview软件,这是一个中文汉化版的软件,其英文版名字叫USBDeview,是一个免费软件。
它的好处是可以查看此电脑上所有的正在使用和曾经使用过但已拔出的USB接口设备,包括键盘鼠标、摄像头、U盘、移动硬盘等。
3、使用USBViewer软件,这个只能查看USB移动存储设备(包含移动硬盘和U盘),像摄像头可能不识别。
显示信息详细度稍差,不如USBDeview。
再来说说怎么删除曾经使用过的USB设备记录,有几种办法:1、手工删除:和查看的方法类似,分三步,缺一不可,顺序也不能反!① 设置环境变量,变量名为“devmgr_show_nonpresent_devices”,值为“1”。
② 打开设备管理器,勾上“查看”菜单中的“显示隐藏设备”。
如果之前已经打开设备管理器,则要关了,重新打开。
③ 清除“磁盘驱动器”、“存储卷”、“通用串行总线控制器”3个栏目下所有的灰色的图标,注意是所有!右键点击灰色图标,然后选择“卸载”。
2、还是USBDeview软件/USBview,在软件中选中前面图标为灰色的栏目,右键点击“卸载”(英文原版最新版肯定有这菜单,中文版早期的好像没这菜单)。
缺点:只能删除“串行总线控制器”栏目中的痕迹,其余两个栏目下痕迹还存在。
3、使用USBViewer软件,右键——>“删除所选痕迹”即可。
USB使用痕迹追踪技术
USB使用痕迹追踪技术随着电子技术的发展,具有USB接口的电子设备越来越多,而且大多数都可以作为存储介质使用。
目前较为典型的设备就是手机,手机通过USB接口与电脑连接时,有多种连接模式可供选择,如存储介质模式、调制解调器模式、摄像头模式和充电模式等,当然不同的手机提供的连接模式也不尽相同。
当各种设备通过USB接口以存储介质模式与电脑连接时,可能会给电脑带来病毒、“木马”间谍程序等,还可以带走电脑上的涉密信息。
基于这些危害,在开发、存储和处理国家涉密信息的单位,都会依据国家相关的法律规定,再结合本单位的特点,制定一套切实可行的移动存储介质管理方案。
在国家的各保密单位中,涉密存储介质应在显眼的位置作出“绝密”、“机密”、“秘密”的密级标识,并按照相同密级的国家秘密载体进行管理;非涉密存储介质不得存储国家秘密信息,严禁将涉密存储介质擅自转借或者转让给他人、挪作他用;指定密级的移动存储介质只能在指定的一些计算机上使用,严禁涉密存储介质和非涉密存储介质的交叉使用。
有些单位甚至将USB接口封死,禁止任何USB接口设备的使用,由此看见,对于USB接口存储介质管理的重要性,所以在目前的保密检查中,将USB设备使用痕迹的检查作为一项重点的检查内容。
2.USB设备使用痕迹USB接口的设备与计算机连接后,会在注册表和系统目录下的日志文件setupapi.log中留下使用痕迹,当设备与计算机断开连接后,这些痕迹依然存在。
在保密检查中,这些痕迹被作为USB设备使用的证据被检查出来,证据中包含了USB设备的类型、销售商代码、产品代码、设备序列号等信息。
接下来是对USB设备使用痕迹在注册表中的具体位置及意义、在日志文件中的保存形式的详细说明,所提到的内容适用于Windows 2021、Windows XP和Windows 2021操作系统。
2.1 USB设备使用痕迹在注册表中位置当任何一个USB接口的设备与计算机连接时,都会在HKEY_LOCAL_**********urrentControlSetEnumUSB下创建一个子键,形式为Vid_1043Pid_8012,第一个4位数字是销售商代码,由USB协会分配给各销售商;第二个4位数字是产品代码,由销售商分配给其生产的产品,这个键的子键记录的就是设备的序列号。
高手删除U盘使用足迹的三种方案
高手删除U盘使用足迹的三种方案我们都知道U盘在使用后便会在我们的系统里留下相关的使用记录,有时候为了安全我们想删除掉这些足迹。
有什么实用的方案能帮我们彻底地删除这些U盘的使用记录呢?三种方案马上分享给大家。
方案一:手动删除注册表信息。
㈠、先在系统里添加环境变量"devmgr_shownonpresent_devices'值为"1'㈡、打开设备管理器,然后查看隐藏设备,展开磁盘驱动器和储存卷两处,然后把跟U盘有关的删除掉。
㈢、鼠标单击"我的电脑'右键选择"管理'打开,然后把可移动存储相关的信息删除。
㈣、把"㈠'中加入的系统环境变量"devmgr_shownonpresent_devices'删除。
㈤、打开注册表(在"开始'菜单"运行'输入框中输入"regedit'可直接打开注册表),注册表打开后依次在"编辑' -"查找',然后在输入框中输入"USBSTOR'只勾选"项',不要并选择"值'和"数据'(可加快搜索速度),再点"确定'或者按回车键开始搜索,将会搜索到有关"USBSTOR'的项,然后全部删除(每删除一项的时候就按"F3'),要是有些不能删除的,就点鼠标右键选择"权限'进入到权限设置,选择"允许' - "完全控制'即可。
要是不放心的话,我们可在注册表中把鼠标选中注册表上的"我的电脑',然后按"F3'再查询删除一次即可。
下面我们就列举出需要删除的详细注册表:删除以下目录的注册表USBSTOR子项。
怎么查看电脑插过U盘的记录?
怎么查看电脑插过U盘的记录?如何查看电脑历史操作记录?1。
看计算机在哪天运行过~运行了多久!(系统安装在c盘)找到c:\windows\SchedLgU。
txt文件里面有你自这个系统产生以来曾经工作过的时间,包括哪天开了机开机时间关机时间!2。
看你最近运行过什么程序:找到C:\WINDOWS\Prefetch下。
里面有记录你曾经运行过什么程序,文件最前面的及为程序名,后面的执行代码不用理他!如果你没有优化过的话~这里面保存的东西应该是非常有价值的!3。
看你最近打开过什么文件(非程序)和文件夹!开始--运行--recent4。
看最近在网上做了什么…………等等~显示所有文件个文件夹,找到C:\Documents and Settings ukunping\Local Settings目录~~你慢慢探索一下这个文件夹吧~如果没有进行过磁盘清理或相关优化~你所有记录可全在这个里面哦~(包括你上网干了什么坏事~可能还能有视频,图片罪证呢!呵呵)5。
查看最近删除了什么:这就要用到硬盘恢复工具啦~把你曾经以为彻底删除掉的东西都给你翻出来~~哈哈!!删除电脑操作记录的方法1、自定义删除(即想删除哪条历史记录就删除哪条)在百度搜索网页里的搜索栏中,点击鼠标左键两次,会出现以前搜索过的历史记录。
然后用鼠标指向你想要删除的历史记录(注意:是指向,不要点击),这时这条历史记录会深色显示,再点击DEL键,就可以删除这一条历史记录了。
这种方法你可以随心所欲,想删哪条都可以。
2 、完全删除法在桌面用鼠标右键点击IE图标,再点属性。
选上面的“内容”按钮。
再点下面的“自动完成”按钮。
然后点击“清除表单”,就可以把以前的所有历史记录删掉。
如果想以后也把录用的内容不留历史记录,则把“表单”前面的勾去掉。
附一:清除电脑痕迹的方法:1、清除最近使用过的文档记录以Windows XP为例,右键点击“开始”按钮,选择“属性”,在弹出的设置任务栏和开始菜单属性对话窗中点“自定义”按钮,在“自定义开始菜单”对话框中的“高级”标签下点“清除列表”。