跟踪USB存储:分析USB存储设备所产生的Windows历史记录
中国兵器深度保密检查工具用户手册2.1
中国兵器深度保密检查工具用户手册中国兵器工业信息中心2008年8月8日目录一、简介 (1)二、一键化检查 (4)三、专业化设置 (7)3.1 设置检查基本信息 (7)3.2 设置报警信息关键字 (7)3.3 设置上网强力搜查参数 (11)3.4 设置检查项 (13)3.4.1 系统信息 (13)3.4.2 安装软件 (14)3.4.3 硬件信息 (15)3.4.4 系统服务 (15)3.4.5 系统补丁 (15)3.4.6 系统关键策略 (16)3.4.7 进程信息 (16)3.4.8 系统日志 (17)3.4.9 打开端口 (17)3.4.10 自启动项目 (18)3.4.11 共享目录 (18)3.4.12 打印机 (18)3.4.13 网上邻居 (19)3.4.14 IE::TempFile (19)3.4.15 IE::Cookie (19)3.4.16 IE::TypedUrl (19)3.4.17 Explorer::Recent (19)3.4.18 Explorer::RunMRU (20)3.4.19 Office::Recent (20)3.4.20 文件夹视图 (20)3.4.21 USB存储设备 (21)3.4.22 USB设备 (21)3.4.23 系统缓存图标 (22)3.4.24 缓存应用程序 (22)四、智能化报表 (23)五、深度USB检查工具 (24)5.1 USB存储设备检查 (25)5.2 USB设备检查 (25)5.3 驱动设备安装日志检查 (26)六、上网记录强力搜索 (27)七、关键字搜索 (29)八、磁盘低格检查 (31)九、磁盘内容查看 (32)十、标密软件管理系统 (33)一、简介“中国兵器深度保密检查工具”由中国兵器工业集团公司保密办和中国兵器工业信息中心联合研制。
“中国兵器深度保密检查工具”可以检查信息系统(涉密与非密)的6大类24项检查内容。
电脑如何查看使用记录
电脑如何查看使用记录电脑的使用记录是指电脑记录下的用户在电脑上的操作记录。
了解电脑使用记录可以帮助我们更好地管理电脑,了解自己的使用习惯,还可以帮助我们发现电脑中可能存在的安全风险。
电脑如何查看使用记录呢?Windows系统查看使用记录Windows系统提供了两种方式,让我们可以查看电脑的使用记录。
使用事件查看器Windows系统中有一个叫做“事件查看器”的工具,可以查看电脑上的所有事件记录,包括安全事件、系统事件、应用程序事件等等。
操作如下:1.在Windows的“开始菜单”中,找到“Windows管理工具”文件夹,展开文件夹后点击“事件查看器”。
2.在事件查看器中,我们可以通过“自定义视图”创建一个自定义筛选条件,以便筛选感兴趣的记录。
使用“历史记录”Windows系统还提供了“文件资源管理器”的“历史记录”功能。
这个功能可以记录我们飞快访问过的文件、文件夹和位置,以便我们在之后快速打开这些位置。
我们可以通过以下步骤查看历史记录:1.打开Windows资源管理器。
2.在“左部窗格”中找到“历史记录”选项,并点击它。
3.在历史记录中,我们可以看到我们过去访问过的文件、文件夹和位置。
macOS系统查看使用记录macOS系统和Windows系统一样,也提供了两种方式可供我们查看使用记录。
使用“活动监视器”在macOS系统中,“活动监视器”可以让我们查看系统的运行情况和进程状态,也可以让我们查看我们的电脑使用记录。
我们可以按以下步骤查看:1.打开“应用程序”菜单。
2.在“实用工具”文件夹中,找到并点击“活动监视器”。
3.在“CPU”、“内存”、“磁盘”和“网络”标签页,我们可以查看系统使用情况和进程状态。
在“CPU”标签页,我们还可以查看CPU使用的历史记录。
使用“终端”命令“终端”是macOS系统的一个命令行工具,我们可以通过一些命令查看电脑使用记录。
我们可以按照以下步骤操作:1.打开“应用程序”菜单。
windows7活动历史记录
windows7活动历史记录
1. 查看活动历史记录:在 Windows 7 中,你可以通过以下步骤查看活动历史记录:
- 点击“开始”菜单,然后选择“控制面板”。
- 在控制面板中,选择“性能和维护”,然后点击“管理工具”。
- 在管理工具中,选择“事件查看器”。
- 在事件查看器中,你可以查看不同类型的事件日志,包括应用程序、安全性、系统等。
2. 清除活动历史记录:如果你希望清除活动历史记录,可以按照以下步骤操作:
- 打开“我的电脑”或“计算机”。
- 右键点击系统盘(通常是 C 盘),然后选择“属性”。
- 在属性窗口中,点击“磁盘清理”。
- 在磁盘清理选项中,选择“清理系统文件”。
- 系统会计算可以释放的空间,然后列出可以清理的文件类型,包括“临时文件”、“回收站”、“缩略图”等。
勾选你想要清理的文件类型,然后点击“确定”。
- 系统会提示你是否确认要清理选定的文件,点击“是”开始清理。
需要注意的是,清除活动历史记录可能会影响某些应用程序的功能,例如已保存的浏览器历史记录、密码等。
在清理之前,请确保你已经备份了重要的数据或设置。
此外,Windows 7 已于 2020 年 1 月 14 日停止官方支持,建议你考虑升级到较新的操作系统,以获得更好的安全性和功能支持。
如何清除USB移动存储设备使用记录
如何清除USB移动存储设备使用记录step1: 打开注册表,打开方法:点击“开始\运行”,在“运行”对话框中输入命令:regedt32ste2: 删除注册表中以下目录的items(如果无法删除,需要修改权限:选中目录USBSTOR,点击菜单命令“安全\权限”,然后在弹出的权限对话框中选择“完全控制”选项)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTO RHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002(有的系统是003)\Enum\USBSTORHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\US BSTORstep3:删除注册表中以下目录的itemsHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\US Bstep4:运行软件USBLOG.EXE检查USB设备的使用记录,如果还有不完全的记录,则进一步处理:打开注册表,打开方法:点“开始\运行”,在“运行”对话框中输入命令:regedit然后在注册表中搜索所显示的不完全记录中的明显关键字,找到后将相应的记录删除一般每条记录存在于以下两处地方:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Dev iceClasses\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Dev iceClasses\step5:最后用USBLog.exe(下载:/Files/saga/USBlog.rar )检查一遍,如果生成的文件中没有显示记录就OK了。
存储介质信息消除工具
针对NTFS分区系列格式下文件存储,一般分以下几 个部分存放,文件名称索引、记录数据流、数据运 行。针对文件的上属性列表,采用特别的数据算法, 对此数据做统一清除,以达到任何软硬件设备无法 恢复。
4.2.2 粉碎目录 整体目录粉碎,根据不同的分区格式需要对目录下的文件、 子目录进行递归清除,达到目录下的数据及目录名称本身 在磁介质不存在任何数据信息,形成彻底的数据粉碎。
4.2.4 粉碎整个磁介质分区 对整个磁介质分区从第0扇区开始,到最后一个结束 扇区为止,根据物理磁盘读写技术,对所清除的扇区,簇, 进行逐一的清除,使之整个磁盘分区同时被规定的数据擦 写算法,清除达9次,清除后的磁介质分区无法被任何软 硬件所恢复。
4.2.5 一键清除上网记录 首先清除常规上网记录包括收藏夹、近文件夹、临时 文件、cookies、历史记录,第二步清除用户先前通过系 统命令删除的上网记录,第三步清除重新安装系统后,遗 留在硬盘上的用户不可见的上网记录
22425一键清除上网记录首先清除常规上网记录包括收藏夹近文件夹临时文件cookies历史记录第二步清除用户先前通过系统命令删除的上网记录第三步清除重新安装系统后遗留在硬盘上的用户不可见的上网记录23426选择性清除usb插拔记录首先对操作系统中正常存在的usb插拔记录进行查询并将记录按存储与非存储进行分类
3.2.3. 单个及多个磁盘空间的清除
存储介质信息消除工具可以一次实现一个及多个磁盘 空间的清除,并且选择的磁盘分区格式可以不同的,实 现对磁盘空间残留数据的清除
3.2.4. 单个及多个磁盘的清除
存储介质信息消除工具可以一次实现一个及多个磁盘 的清除,并且选择的磁盘分区格式可以不同的,实现对磁 盘分区所有数据的清除。
3.2.1. 单个文件及多个文件清除
IP guard终端安全管理系统
IP-guard将为企业解决以下问题:
保护机密商业资料详细记录文件操作(打开、修改、删除等)记录文件操作时的屏幕限制使用移 动存储设备(U盘授权)防止滥用公司电脑应用程序的统计与控制页浏览的统计与控制络流量的 统计与控制邮件监控评估员工工作态度详细记录员工使用应用程序详细记录员工浏览页员工使用 电脑情况图表分析方便的电脑资产管理自动获取电脑硬件设备清单远程信息查看、操作、控制驱 动、USB、通讯类设备控制漏洞检查软件分发完善丰富的报表功能自动生成、发送邮件报告定时 记录电脑屏幕重要屏幕画面的导出
02
二:IP-guard核心 价值
一、IP-guard功能模块
IP-guard基本系统由三个不同的模块组成:代理模块、服务器模块和控制台模块。 代理模块的基本功能包括:
-定时采集数据并保存 -定时将采集的数据传送到服务器 -响应控制台发出的监视请求,传送实时的屏幕快照信息 -根据系统的设置控制计算机和用户的操作 服务器模块的基本功能包括: -定时搜索络,管理所有代理模块计算机,
并向代理模块传递相关的设置和策略 -收集代理模块的采集的数据,并将其保存到数据库中 -备份历史资料 -提供方便灵活的历史记录管理、查看、归档、搜索等功能
控制台模块的基本功能包括: -实时获取受监视计算机的屏幕快照等信息 -对单个或对一组目标机进行实时监视,并可以轮流显示多个目标机的屏幕快照 -设置监视和控制规则 -查看并播放记录在服务器端的历史记录 -查询特定机器特定时刻的历史记录
原句:ipguard具备数据加密、络管理、络监控、信息安全多项可选择的功能,是企业和政府管 理络的高可伸缩性的解决方案。
修改后:IP-guard具备数据加密、络管理、络监控、信息安全等多项可选功能,是企业与政府 管理络的极具伸缩性的解决方案。
绿霸内网安全监控管理系统SECGUARD功能一览表
只能控制一段时间内网卡 可以限制客户端的流量,可以指定网络地址 接收流量超过一定数值, 、端口范围、流量方向来限制客户端的流量 就禁止其网络连接 可以按时间、计算机(组)/用户(组)、 地址明细、端口明细、地址类别、端口类别 查看并统计网络流量大小情况 只能统计网卡流量
数据库 系统构架
SQL2000、SQL2005、 ACESS windows98/ME/2000/2003/x p/win7 windows2000/2003/xp/win 7
√ √
只能监控QQ、MSN、 SKYPE、TAOBAO4款
邮件记录
QQ\MSN等通讯信息记录 报警信息统计查询 客户端在线时间 用户操作日志的记录(管理员、审计员的 操作) 网络连接恢复后审计自动回传
√ √ √ √ √ √ √ √ √ √
向客户机发送实时讯息 远程关闭/注销/重启客户端 远程锁定客户机 远程控制 远程协助
客户端支持系统 服务器端系统要求
√ √ √ √ √ √ √ √ √ √ √
自动刷新计算机ip地址和名称 进程监控 共享管理
非法主机接入及非法外连控制 支持监控多网段客户机 支持监控外网客户机 禁止使用设备管理器 软驱、光驱、磁带机 USB端口开/关 USB存储设备和其余设备的区别管理 设置只能使用指定的USB存储设备
可以控制非法计算机接入网内,也可以控制 网内计算机非法外连 可以添加多个网段的客户端范围 可以监控到外网能连接到服务器的客户端信 息 可以按某台、某组或者这个网络禁止打开及 使用设备管理器 可以按某台、某组或者这个网络禁止使用软 驱、光驱、磁带机 可以按某台、某组或者这个网络禁止使用 USB端口 可以按某台、某组或者这个网络禁止使用 USB存储设备 可以按某台、某组或者这个网络设置只能使 用经过控制台认证过的USB存储设备 可以按某台、某组或者这个网络设置禁用的 USB设备只能读取数据而不能写入数据 可以按某台、某组或者这个网络禁止打印功 能 可以按某台、某组或者这个网络禁用调制解 调器,同时可以禁用3G上网卡 可以按某台、某组或者这个网络禁用串口、 并口、1394总线、红外线通讯设备、PCMCIA 卡接口等 可以按某台、某组或者这个网络禁止使用任 何新设备 可以对客户端在线离线时设置不同的设备端 口策略
敏感审计工具使用介绍(保密检查与清理)
能邦敏感审查工具及具体应用介绍南京能邦信息技术有限公司一、数据泄密途径分析1、内外网互联内网电脑非法接入互联网的几种情况:1.1、内外网网线互接、互换。
内网和外网中的连接设备(交换机)线路混插,内外网到终端的接口互换,没有完全的内外网物理隔离;1.2、内网电脑有无线上网设备内网中有些终端带有无线上网设备,如计算机的无线网卡,这样内网就可以通过无线直接连接到互联网;1.3、内网电脑直接带出访问互联网内网可移动电脑在没有管理授权的情况下直接带出内网环境,从而访问互联网;1.4、内网中可以被外来电脑接入,从而造成间接泄密内网环境中可以接受外来电脑的直接接入,外来任何电脑直接接入网线在没有授权的情况下就可以直接访问内网系统,从而造成内网数据的间接外泄。
2、移动设备使用移动设备主要包括:U盘、移动硬盘、MP3/MP4、数码相机、手机等带存储的数码设备。
移动设备造成泄密的几种情况:2.1、外网移动设备非法插入内网计算机;在外网中使用的移动带存储的设备(U盘、移动硬盘等)拿到内网电脑中使用,造成内网数据通过移动存储设备外泄的可能性大大增加;2.2、内网专用移动设备在外网电脑上使用;固定的移动设备只能在内网电脑上使用,如果内网专用的存储设备私自拿到外网中使用,可直接导致内网数据的泄密;2.3、个人所属移动设备在单位电脑上使用;很多办公用户都有私人的U盘、数码相机等,这些设备自带存储功能,如拿到单位电脑上使用,可导致信息数据的外流;3、文档泄密各单位均有保密管理规定,并对信息内容所属密级有规定。
下面是文档泄密的几种情况:3.1、外网电脑上存储了涉密文档信息;外网电脑硬盘上不应该含有任何单位规定的涉密文档信息,3.2、外网专用存储介质上存储有涉密文档信息;各单位定义的外网专用存储介质(U盘、移动硬盘等)上不应存储有任何内网涉密的文档;4、隐藏信息泄密硬盘上面虽然从文件列表方面看不出有涉密文档,但可能计算机硬盘上面曾经存储过涉密文件,这些文件被删除了。
存储器发展史
存储器的发展史存储器是用来存储程序和数据的部件,有了存储器,计算机才有记忆功能,才能保证正常工作。
按用途存储器可分为主存储器(内存)和辅助存储器(外存)。
外存通常是磁性介质或光盘等,能长期保存信息。
内存指主板上的存储部件,用来存放当前正在执行的数据和程序,但仅用于暂时存放程序和数据,关闭电源或断电,数据就会丢失。
发展史分为七个阶段:1.存储器设备发展之汞延迟线1950年,世界上第一台具有存储程序功能的计算机EDVAC由冯.诺依曼博士领导设计。
它的主要特点是采用二进制,使用汞延迟线作存储器,指令和程序可存入计算机中。
1951年3月,由ENIAC的主要设计者莫克利和埃克特设计的第一台通用自动计算机UNIVAC-I交付使用。
它不仅能作科学计算,而且能作数据处理。
2.存储器设备发展之磁带UNIVAC-I第一次采用磁带机作外存储器,首先用奇偶校验方法和双重运算线路来提高系统的可靠性,并最先进行了自动编程的试验。
磁带是所有存储器设备发展中单位存储信息成本最低、容量最大、标准化程度最高的常用存储介质之一。
它互换性好、易于保存,近年来,由于采用了具有高纠错能力的编码技术和即写即读的通道技术,大大提高了磁带存储的可靠性和读写速度。
根据读写磁带的工作原理可分为螺旋扫描技术、线性记录(数据流)技术、DLT技术以及比较先进的LTO技术。
磁带库是基于磁带的备份系统,它能够提供同样的基本自动备份和数据恢复功能,但同时具有更先进的技术特点。
它的存储容量可达到数百PB,可以实现连续备份、自动搜索磁带,也可以在驱动管理软件控制下实现智能恢复、实时监控和统计,整个数据存储备份过程完全摆脱了人工干涉。
磁带库不仅数据存储量大得多,而且在备份效率和人工占用方面拥有无可比拟的优势。
在网络系统中,磁带库通过SAN(Storage Area Network,存储区域网络)系统可形成网络存储系统,为企业存储提供有力保障,很容易完成远程数据访问、数据存储备份或通过磁带镜像技术实现多磁带库备份,无疑是数据仓库、ERP等大型网络应用的良好存储设备。
Windows系统USB历史痕迹分析
报警信息, 并通 过更新客户端注 册表文件的方法 , 阻止终端 联 监控 发现连接互联网行为, 安全保密管理系统都能够 向安
应用该违规U B S 设备。 全保密管理员发 出报警信息并同时记录违规 日志。
4 违 规处理 涉密文件发现
核心 在 于对 当前 文 档 信 息进 行 实 时监 控 , 系统 最近
U i e s l e i l U 通 用串行 总线 ) I t l n v r a S r a B S( 是 n e、
备 生产商P I在前。 VD 记录形成机制
Mc oot ir s 与有
限的主板插槽 和端 口之 间的矛盾而于1 9 年提 出制定的。 95 它
构。
当U B S 存储设备通 过U B 口连接 ̄ W n o S S接 O i d w 系统时, 操
确切描述符, 以确定设备的制造商、 版本号、 设备种类 以及其
是一种用 于将适用U B S 的外 围设备连 接到主机 的外部总线结 作系统查找新硬件的附加 信息 , 驱动 器就会寻求这个设备的 UB S 显著优 点就 是支持热 插拔 , 论上可以支持 1 7 理 2 个 他信息。 如果U B S 集线器驱动发现一个新 的U B S 设备连接到这
就会按照如下格式创建设备实例标 识符 ( 设备I): S WI— 通 过浏览器访 问过的网址、 问时间、 D UB D 访 历史记录等信息。 实际
v4& I_ ()R V r4。 ()PD d4& E _ ()
上它是一个保存了终端所有c o i 、 o k e 历史记录和I 临时文件 E
通 过对 当前 系统 内H E - O A - A H N \ y t m 中所记录 内容 的副本 。 K YLC LM C IES se\ 并且id xd t n e .a文件是被系统保护的, C r e to t oS tE u \ S 键值的实时分析和检索, u r n C n r le\ n mU B 如果 即使在 I 中把这些 内容 都清除了, i dx d t ̄ 中的记录 E 但 n e .a 3 如果发现被 管理 终端存在上网痕迹或通过违规外 发现 与预定义合法 U B S 线索不一致情况 , 则在 服务器端产生 还是存在。
C#读取Usb使用记录
C# 系统应用之通过注册表获取USB使用记录(一)2014-04-08 我来说两句来源:C# 系统应用之通过注册表获取USB使用记录(一)收藏我要投稿该文章是“个人电脑历史记录清除软件”项目的系统应用系列文章.前面已经讲述了如何清除IE浏览器的历史记录、获取Windows最近访问文件记录、清除回收站等功能.现在我需要完成的是删除USB设备上的U 盘、手机、移动硬盘等记录,真心觉得这方面资料特别少.这篇文章首先主要讲述了通过注册表获取USB使用记录,希望对大家有所帮助.一.注册表基本知识注册表(registry)是Windows系统中一个重要的数据库,它用于存储有关应用程序、用户和系统信息.注册表的结构就像一颗树.树的顶级节点(hive)不能添加、修改和删除.如下图所示是Windows注册表的顶级节点:(1).HKEY_CURRENT_USER:包含当前登录到Windows的用户配置信息(2).HKEY_USERS:包含计算机所有用户的配置信息(3).HKEY_LOCAL_MACHINE:包含与计算机相关的配置信息,不论用户是否登录(4).HKEY_CLASSES_ROOT:包含将文件类型同程序关联起来的信息及COM 组件配置数据(5).HKEY_CURRENT_CONFIG:包含本地计算机启动时所使用的硬件描述文件.详见百度百科二.C#中注册表简单使用在前面"C# 系统应用之IE 浏览器记录和地址栏输入网址"文章中我已经简单的使用了通过注册表获取地址栏的信息并显示.这里想讲讲注册表常使用的获取内容方法.主要代码如下: ?1 2 3 4 5 6 7 8 9 10 11 12 13 //定义注册表顶级节点 其命名空间是using Microsoft.Win32; RegistryKey historykey;;//检索当前用户CurrentUser 子项Software\\Microsoft\\Internet Explorer\\typedURLshistorykey =Registry.CurrentUser.OpenSubKey("Software\\Microsoft\\Interne t Explorer\\typedURLs", true);if (historykey != null){//获取检索的所有值String[] names = historykey.GetValueNames(); foreach (String str in names){listBox1.Items.Add(historykey.GetValue(str).ToString());}}其中,RegistryKey 类(MSDN)表示注册表中的顶级结点,此类是注册表封装.Registry 类(MSDN)提供表示Windows 注册表中的根项的RegistryKey 对象,并提供访问项/值.常用值如下对应的是注册表顶级节点内容.上面代码获取IE 浏览器地址栏最近输入URL 对应的注册表树形路径为: HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\TypedURLs通过Registry.CurrentUser(HKEY_CURRENT_USER)中的OpenSubKey 函数检索指定的子项,并指定是否将写访问权限应用于该项.最后通过GetValueNames()获取检索的所有值.函数原型: ?1 2 3 4 public RegistryKey OpenSubKey(string name, //要打开的子项名称或路径bool writable //如果需要项的写访问权限=true)三.注册表如何存储USB 信息此处查阅多处资料并主要引用《计算机信息获取系统的研究与实现》论文部分:/Article/CDMD-10431-2010236667.htm 在Windows 系统中,当一个USB 移动存储设备插入时,就会在注册表中留下痕迹.当移动设备插入计算机时,即插即用管理器PnP(Plug and Play)接受该事件,并且在USB 设备的固件(Firewre information)中查询有关该设备的描述信息(厂商、型号、序列号等).当设备被识别后,在注册表中创建一个新的键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR在这个键值下,会看到类似下面的结构子键:(该子键代表设备类标示符,用来标识设备的一个特定类)Disk&Ven_###&Prod_###&Rev_###其中子键中"###"代表区域由PnP 管理器依据在USB 设备描述符中获取的数据填写.如下图所示Disk&Ven_aigo&Prod_Miniking&Rev_8.07是Device class ID Q0UKCH37&0是Unique instance ID(UID)如果使用UVCView 工具可以看见USB 设备描述内容,其中的信息都是相互对应的.设备类ID 一旦建立,就需要建立一个特定唯一的UID.它可以把具有同一设备类标识的多个存储设备区分.四.程序实现获取USB 使用信息具体代码如下所示,同时希望大家去下载wnt08的代码,很有帮助/detail/lwnt08/3083499 ?1 2 3 4 5 6 7 8 9 10 11 12 13 14 //获取USB 使用信息private void button1_Click(object sender, EventArgs e) {//定义注册表顶级节点 其命名空间是using Microsoft.Win32; RegistryKey USBKey;//检索子项USBKey =Registry.LocalMachine.OpenSubKey(@"SYSTEM\CurrentControlSet\E num\USBSTOR", false);//检索所有子项USBSTOR 下的字符串数组foreach (string sub1 in USBKey.GetSubKeyNames()){RegistryKey sub1key = USBKey.OpenSubKey(sub1, false); foreach (string sub2 in sub1key.GetSubKeyNames()) {try{//打开sub1key 的子项RegistryKey sub2key = sub1key.OpenSubKey(sub2,15 16 17 18 19 20 21 22 23 24 25 262728293313233false);//检索Service=disk(磁盘)值的子项 cdrom(光盘) if (sub2key.GetValue("Service","").Equals("disk")){String Path = "USBSTOR" + "\\" + sub1 + "\\" + sub2;String Name =(string)sub2key.GetValue("FriendlyName", "");richTextBox1.AppendText("USB 名称 " + Name + "\r\n");richTextBox1.AppendText("UID 标记 " + sub2 + "\r\n");richTextBox1.AppendText("路径信息 " + Path + "\r\n\r\n");}}catch (Exception msg) //异常处理{MessageBox.Show(msg.Message);}}}运行结果如下图所示:其中对应的注册表信息如下图所示:其中对应的FriendlyName即是输出的“USB名称 aigo Miniking USB Device”,UID序号为"Q0UKCH37".搜索的Service(服务)为disk(磁盘)的选项.五.总结与展望首先个人感触,这方面的资料真心很少,文章博客也少,所以看起来操作似乎很简单,但真正实现起来还是令人深思的.然后就是其实存储USB记录的还有很多键值.如1.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB该键值中能看到厂商号(VID_)、厂商产品号(PID_),还有LocationInformation(端口号) Port_#0001.Hub_#0005等.2.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceCl asses该键值下有两个设备类:{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}{53F5630d-B6BF-11D0-94F2 -00A0C91EFB8B},可以通过他们获取USB最后接入系统时间.接下来我想要完成的就是如何把这些键值联系起来,似乎要通过Dictionary,同时怎样获取时间,怎样正确删除这些信息.最后希望文章对大家有所帮助,如果有错误或不足之处,还请海涵!最后感谢下面参考资料的一些文章博客和作者.这类资料真心不好找,都是相关的内容而且不错的,有的引用,有的没有,但都不错,也希望这些链接大家能用到. (By:Eastmount 2014-4-8 夜1点半原创CSDN/eastmount/)参考资料及相似文章(值得一看):1.《计算机信息获取系统的研究与实现》论文讲诉了计算机取证学及USB 原理/Article/CDMD-10431-2010236667.htm2.Tracking USB storage: Analysis of windows artifacts generated by USB storage devices英文文章,如何获取USB使用记录的时间及信息/science/article/pii/S174228760500 03203.用C# 编写USB存储设备使用痕迹检测和删除工具讲诉了如何删除获取分章节讲解/metaphysis/article/details/185043154.C# 读取注册表获取U盘使用记录/detail/lwnt08/3083499。
USB使用痕迹追踪技术
HEKY_LOCAL_MACHINE\SYSTEM\CurrentCtrolSet\Enum\USB下创建一个子键,形式为Vid_1043Pid_8012,第一个4位数据是销售商代码、由USB协会分配给各销售商;第二个4位数字是产品代码,由销售商分配给其生产的产品,这个键的子键记录的就是设备的序列号。序列号子键下有个键值Driver,根据Driver的具体值可以在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class下找到对应GUID下的子键也记录了USB设备的使用信息;序列号子键下还有键值ClassGUID和Service,如果他们的值分别是{36FC9E60-C465-11CF-8056-444553540000}、USBSTOR,说明这个设备是一个USB存储设备;如果ClassGUID的值为{4D36E96D-E325-11CE-BFC1-08002BE10318},则说明是一个Modem设备,如果ClassGUID的值为{6bdd1fc6-810f-11d0-bec7-08002be2092f}则说明是一个摄像头。当为非存储设备时,检查是否存在相同序列号的存储设备,如果存在,说明这是一个通过USB接口可以以不同模式与计算机连接的设备,比较常见的为手机。
USB接口的设备与计算机连接后,会在注册表和系统目录下的日志文件setupapi.log中留下使用痕迹,当设备与计算机断开连接后,这些痕迹依然存在。在保密检查中,这些痕迹被作为USB设备使用的证据被检查出来,证据中包含了USB设备的类型、销售商代码、产品代码、设备序列号等信息。
ห้องสมุดไป่ตู้USB设备使用痕迹在注册表中位置
USB设备使用痕迹在日志文件中的位置
通过日志文件setupapi.log中记录的信息可以获取到USB设备第一次使用时间,第一次使用时间在日志中的存储形式如下,USB设备的其他使用痕迹在日志文件中的存储形式与此类似。
计算机终端保密检查检查工具技术白皮书
JLB计算机终端保密检查工具技术白皮书北京金路标科技有限公司采购咨询:QQ:10邮件:软件名称:计算机终端保密检查工具版本:V6.0目录1.研发背景...................................................................................................... 错误!未定义书签。
2.适用范围...................................................................................................... 错误!未定义书签。
3.涉密信息系统检查取证工具的技术要求.................................................. 错误!未定义书签。
4.产品功能...................................................................................................... 错误!未定义书签。
4.1涉密计算机检查............................................................................... 错误!未定义书签。
4.2非涉密计算机检查........................................................................... 错误!未定义书签。
4.3增强功能........................................................................................... 错误!未定义书签。
5.产品优势...................................................................................................... 错误!未定义书签。
如何检视USB存储设备的使用记录
如何检视USB存储设备的使⽤记录
若是已经从某台计算机导出了注册表中的存储⽂件如”System”,有没有合适的⼯具可以查看其内容,例如检视USB存储设备的使⽤记录?
可采⽤的⼯具⾃然不只⼀种,但若是就取得的便利性来看,FTK Registry Viewer或是Nirsoft USBDeview都不错,可直接将前述⽂件汇⼊以进⾏检视.
但有个朋友就说, USBDeview只能在处于运⾏状态的计算机上使⽤,其实不然,它也有提供指令,可以在DOS下分析注册表中的存储⽂
件”System”,如下所⽰.在参数 /regfile 之后,指定”System”⽂件所在的完整路径及⽂件名,即可得到你要的结果.
倘若⽬标对象不是注册表中的存储⽂件”System”,⽽是镜像⽂件(E01)的话, USBDeview可以直接对它进⾏分析吗?听起来像是个不可能的任务对吧?但实际上是可⾏的,只要透过⼯具如FTK Imager挂载镜像⽂件,于指令中填⼊注册表中的存储⽂件”System”的正确路径及⽂件名即可,便能在不汇出的情况下直接分析⽆误,如下所⽰.
此外,在上⼀篇之中,有特别提到Windows Update对于取证分析的影响须特别留意,除了可能会造成InstallDate变动之外,其实对于USB存储设备插拔记录的时间戳也是有所影响.意即你在USBDeview或其它⼯具所看到的时间戳”Created Date”恐已⾮當初的⽇期时间,也是由于受Windows Update的影响所致.
那要如何得知确切的USB存储设备使⽤历程呢?可以参考Windows事件⽇志,如下所⽰,对照”System”中所发现的USB存储设备信息,应可有效掌握.。
智华天成存储介意消除系统使用说明
智华天成存储介意消除系统使用说明针对存储介质,存储信息量大,使用寿命长,已经成为涉密单位工作不可或缺的一部分。
多数人删除数据采用DEL键直接删除,或使用相关软件对存储介质进行清零覆盖或单格式化分区处理。
而从技术的角度分析,所有简单删除的信息依然会存储于介质内,使用专业的数据恢复工具都可以被恢复。
对于一些重要敏感信息,需要及时彻底删除,然后存储介质才可以继续安全使用。
由于我们平时信任的伪删除并不能真正彻底安全删除信息,所以简单删除后继续使用的存储介质成为严重的泄密源。
鉴于以上情形,我公司完全自主开发了本套产品,使数据清除正规化。
采用完善的数据销毁算法,直接与磁盘扇区交互数据,对磁盘物理扇区直接读写,实现对磁盘数据的彻底销毁,确保被清除后的涉密数据无法通过技术手段恢复,保证所有存储介质数据安全。
主要功能:文件/文件夹销毁:对单个、多个文件、文件夹等各种格式的数据进行销毁;全盘粉碎:对整个硬盘进行数据覆盖擦写,所有数据将无法进行恢复。
磁盘剩余空间:单个或多个磁盘的剩余空间进行擦除、数据粉碎;上网痕迹清除:对上网痕迹进行传统的、深度的硬盘擦除;常规痕迹清理:对开始/运行、搜索文件、搜索计算机、近打开的文档、产生的痕迹进行清除;选择清除USB记录:根据不同需求选择性擦除USB介质使用痕迹;文件操作记录清除:清除写字板、word2003、excel2003、access2003、powerpoint2003历史文档打开记录;播放器记录清除:清除Windows MediaPlayer、Realplayer10历史使用记录;主要特点:超强度的擦除:本产品不仅采用普通数据销毁标准方法和国家保密标准进行擦除,而且添加超强度覆盖标准35次覆盖擦除,满足不同数据的不同需求;产品智能化针对不同的涉密级别的数据用户可自行设置擦除的方法,以及擦除范围;覆盖面广泛可消除的信息广泛、全面。
从单个数据文件到整个磁盘空间,从上网痕迹到介质使用痕迹。
如何在Windows系统中备份文件
如何在Windows系统中备份文件在Windows系统中,备份文件是非常重要的,可以帮助我们保护数据免受意外删除、病毒感染或者系统故障的损害。
本文将介绍如何在Windows系统中备份文件的方法。
1. 使用Windows自带的备份工具:Windows操作系统自带了一个备份工具,称为“文件历史记录”。
它可以自动备份重要文件,并将其保存在外部存储设备上。
以下是使用文件历史记录进行备份的步骤:a. 连接外部存储设备,例如USB闪存驱动器或外部硬盘。
b. 打开“控制面板”,点击“文件历史记录”选项。
c. 在文件历史记录设置中,将文件历史记录开关切换到“打开”状态。
d. 点击“选择驱动器”,选择要备份文件的外部存储设备。
e. 定期连接外部存储设备,文件历史记录将自动备份您的文件。
2. 使用云存储服务进行备份:除了使用外部存储设备进行备份外,您还可以考虑使用云存储服务来备份您的文件。
以下是使用云存储服务进行备份的步骤:a. 注册并登录一个可靠的云存储服务,例如谷歌云端硬盘、微软OneDrive等。
b. 安装并登录云存储服务的桌面客户端应用程序。
c. 在云存储服务的桌面客户端中,选择要备份的文件夹或文件。
d. 等待桌面客户端将您选择的文件上传至云端存储。
3. 备份到其他硬盘或分区:如果您有多个硬盘或分区,您可以将文件备份到其他硬盘或分区。
以下是使用其他硬盘或分区进行备份的步骤:a. 打开“文件资源管理器”,找到要备份的文件或文件夹。
b. 将文件或文件夹复制到其他硬盘或分区中的目标位置。
c. 确保目标位置可以轻松访问,并且不易受到病毒感染或故障影响。
4. 使用第三方备份软件进行备份:除了使用Windows自带的备份工具外,您还可以考虑使用第三方备份软件来备份您的文件。
以下是使用第三方备份软件进行备份的步骤:a. 下载并安装可靠的第三方备份软件,例如EaseUS Todo Backup、Acronis True Image等。
如何进行数据备份和恢复保障个人信息安全
如何进行数据备份和恢复保障个人信息安全在数字化时代,个人信息的重要性不言而喻。
无论是工作文档、照片、联系人列表还是其他敏感数据,我们都不希望失去它们或者让它们落入他人之手。
数据备份和恢复是保障个人信息安全的重要环节。
本文将介绍几种常见的数据备份和恢复方法,以帮助读者保障自己的个人信息安全。
一、云存储备份云存储备份是当今最常见也最方便的数据备份方式之一。
通过将数据上传到云端服务器,我们可以随时随地访问和恢复这些数据。
以下是一些常用的云存储备份服务:1. Dropbox:Dropbox是一种基于云端的备份服务,它提供了免费的存储空间,用户可以将文件上传到自己的Dropbox账户中进行备份。
此外,Dropbox还提供了自动同步功能,可以实时备份文件的更改。
2. Google Drive:Google Drive是谷歌提供的云存储服务,用户可以将文件上传到自己的Google Drive账户中进行备份。
与Dropbox类似,Google Drive也提供了免费的存储空间和自动同步功能。
3. OneDrive:OneDrive是微软提供的云存储服务,用户可以将文件上传到自己的OneDrive账户中进行备份。
与其他云存储服务相比,OneDrive在Windows系统中有更好的集成体验。
二、外部存储设备备份除了云存储备份,使用外部存储设备进行备份也是一种常见且可靠的选择。
以下是几种常见的外部存储设备备份方法:1. 移动硬盘备份:通过将数据存储到移动硬盘中,我们可以方便地将数据备份到一个物理设备中。
移动硬盘备份适用于大量数据的备份,例如大型工作项目或多媒体文件。
2. USB闪存盘备份:与移动硬盘类似,USB闪存盘也是一种可以方便携带和使用的外部存储设备。
用户可以将需要备份的文件复制到USB闪存盘中,以便在需要时进行恢复。
3. 光盘备份:虽然光盘已经逐渐退出了主流市场,但它仍然是一种可行的备份选项。
用户可以将数据刻录到光盘中进行长期备份,在需要时取出恢复。
USB使用痕迹追踪技术
USB使用痕迹追踪技术随着电子技术的发展,具有USB接口的电子设备越来越多,而且大多数都可以作为存储介质使用。
目前较为典型的设备就是手机,手机通过USB接口与电脑连接时,有多种连接模式可供选择,如存储介质模式、调制解调器模式、摄像头模式和充电模式等,当然不同的手机提供的连接模式也不尽相同。
当各种设备通过USB接口以存储介质模式与电脑连接时,可能会给电脑带来病毒、“木马”间谍程序等,还可以带走电脑上的涉密信息。
基于这些危害,在开发、存储和处理国家涉密信息的单位,都会依据国家相关的法律规定,再结合本单位的特点,制定一套切实可行的移动存储介质管理方案。
在国家的各保密单位中,涉密存储介质应在显眼的位置作出“绝密”、“机密”、“秘密”的密级标识,并按照相同密级的国家秘密载体进行管理;非涉密存储介质不得存储国家秘密信息,严禁将涉密存储介质擅自转借或者转让给他人、挪作他用;指定密级的移动存储介质只能在指定的一些计算机上使用,严禁涉密存储介质和非涉密存储介质的交叉使用。
有些单位甚至将USB接口封死,禁止任何USB接口设备的使用,由此看见,对于USB接口存储介质管理的重要性,所以在目前的保密检查中,将USB设备使用痕迹的检查作为一项重点的检查内容。
2.USB设备使用痕迹USB接口的设备与计算机连接后,会在注册表和系统目录下的日志文件setupapi.log中留下使用痕迹,当设备与计算机断开连接后,这些痕迹依然存在。
在保密检查中,这些痕迹被作为USB设备使用的证据被检查出来,证据中包含了USB设备的类型、销售商代码、产品代码、设备序列号等信息。
接下来是对USB设备使用痕迹在注册表中的具体位置及意义、在日志文件中的保存形式的详细说明,所提到的内容适用于Windows 2021、Windows XP和Windows 2021操作系统。
2.1 USB设备使用痕迹在注册表中位置当任何一个USB接口的设备与计算机连接时,都会在HKEY_LOCAL_**********urrentControlSetEnumUSB下创建一个子键,形式为Vid_1043Pid_8012,第一个4位数字是销售商代码,由USB协会分配给各销售商;第二个4位数字是产品代码,由销售商分配给其生产的产品,这个键的子键记录的就是设备的序列号。
使用Python在Windows下获取USBPIDVID的方法
使⽤Python在Windows下获取USBPIDVID的⽅法在Linux系统下获取USB PID&VID是件⼗分容易的事情,只需要"lsusb"命令就可以了。
不过,对于Windows,就没有那么容易了。
之前,有尝试过通过注册表来获得⽬前连接device的USB PID&VID,不过注册表⾥存放的是之前有插⼊这台Windows系统的USB设备的历史记录,也就是说,并不是⽬前连接到Windows的USB设备的信息。
这个问题,可以⽤pyusb这个库解决,但是pyusb需要依赖库,不同的Windows可能需要不同的库,所以如果程序要⼤规模部署到不同的系统上时,要谨慎考虑。
后来,选⽤的pyWin32库,这个更通⽤⼀些。
使⽤MGMT,试了两个instance,其中“Win32_USBHub”只能抓取部分USB设备的信息;但是“win32_usbcontrollerdevice”可以抓取所有的USB信息。
(后来想⼀想,Win32_USBHub抓取的应该是USB hub的信息;⽽Win32_USBControllerDevice抓取的是USB device的信息)使⽤Win32_USBHub的实例代码如下,>>> import win32com.client>>> wmi = win32com.client.GetObject ("winmgmts:")>>> for usb in wmi.InstancesOf ("Win32_USBHub"):... print usb.DeviceID...使⽤Win32_USBControllerDevice的⽰例代码如下,import win32com.clientwmi = win32com.client.GetObject ("winmgmts:")for usb in wmi.InstancesOf ("win32_usbcontrollerdevice"):if "VID_05E0&PID_2107" in usb.Dependent:usbPidVidCorrect = True以上这篇使⽤Python在Windows下获取USB PID&VID的⽅法就是⼩编分享给⼤家的全部内容了,希望能给⼤家⼀个参考,也希望⼤家多多⽀持。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
跟踪USB存储:分析USB存储设备所产生的Windows历史记录关键词:USB存储Windows历史记录设备ID即插即用管理物理设备对象摘要当一个USB存储设备(比如一个U盘)连接到Windows系统时,系统就会创建一些标识符。
这些标识符,也称作历史记录,在系统关闭时仍然存在。
在许多情况下,这些历史记录可能被用来识别曾经连接到Windows系统的特定设备,以对存在的问题进行取证。
2005年爱思唯尔股份有限公司出版引言通用串行总线(USB)是允许将多种设备连接到计算机系统上的一种机制。
随着各种各样的设备通过USB连接到一台计算机上已经变得很普遍,本文仅限于那些可选择的、可移动的存储介质。
这不仅包括标准的“U盘”,还包括数码相机、个人媒体播放器以及伪装了的存储设备,比如一把包括数字存储空间和其它特征的瑞士小刀。
这种存储介质为用户快速交换文件提供了前所未有的便利。
近几年这种设备的价格疯狂下跌,但是其存储密度却有很大的提高。
这种存储设备在给用户带来方便的同时,也带来了不可忽视的安全风险,特别是在企业环境中。
这种容量大体积小的存储设备为下载和窃取大量隐私和敏感的信息提供了掩护。
一张标准的3.5英寸软盘虽然很容易藏在衣服的口袋里,但它只能存储1.44MB的数据,而一个拥有1GB甚至更大存储空间的U盘可以很容易的藏起来,并且可以容得下整个数据库。
许多数码相机在Windows系统中被用作标准的存储媒体,并且标有盘符,还可以像U盘一样使用。
为了提供从一个系统中转移数据的方法,USB存储设备可以将外部代码输入到另外的受保护的系统或者网络。
在限制了像防火墙和入侵检测系统等边界防御程序效率的情况下,终端用户如果使用了未经检查或未被监控的USB存储设备时,恶意的代码可能会在无意中或以其它方式引入。
当一个USB存储设备连接到一个Windows系统时,这个系统上的驱动器会收集这个设备的信息,然后它会利用这些信息在这个系统上建立一个独立的历史记录。
这个信息被固存在这个系统中,而且大多数情况下在其它的Windows系统下这个信息也是一样的。
这些历史记录可以延续连接在这个系统上的USB存储设备的使用时间线,还可以证明这个设备曾连接到其它的Windows系统。
这个信息可以用来进一步进行计算机取证调查并且记录下来。
这篇文章讨论的样例操作系统是Windows XP,并且大部分的信息也适用于Windows2000和2003。
论述注册表记录当一个存储设备通过USB接口连接到一个Windows系统时,操作系统就会发现这个新硬件的附加信息,并且相关的驱动器就会寻求这个设备的确切描述符[1],以确定设备的制造商、版本号、设备种类以及其它信息。
如果USB集线器驱动发现一个新的USB设备连接到这个系统,系统就会试图恢复这个设备的确切描述符。
基于从这个设备上恢复的描述符,Windows就会按照如下格式创建设备实例标识符(设备ID)[2]:USB\VID_v(4)&PID_d(4)&REV_r(4)设备ID中所呈现出的数值直接取自设备描述符[3]。
v(4)是设备描述符中idVendor域的一个四基于USB 接口的HID 设备接口设计·论文翻译2位供应商代码,d(4)是idProduct 域中的一个四位产品代码。
r(4)是一个四位的版本代码。
Windows 也会从设备描述中提取类别码(bDeviceClass 域)、子类别码(bDeviceSublass 域)和协议码(bDeviceProtocol 域),以便列出兼容的设备描述符(兼容ID )清单。
如果想看这种描述符的例子,可以在USB 存储设备连接在系统上时打开设备管理器。
在通用串行总线控制器下选择对应的设备(比如USB MassStorage Device ),然后右击并从下拉菜单中选择属性。
再选择详细信息标签,然后从下拉单选择设备范例ID 、硬件ID 或者兼容ID 。
相应的值就会显示在详细信息这一栏的文本框中,如图1所示。
即插即用管理器就会访问注册表以定位即插即用设备的inf 文件。
这个注册表键是:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion答案就是“DevicePath ”的值。
这个值的数据类型为REG_EXPAND_SZ ,意思就是这个数据可以有多个路径值。
在默认情况下,这个路径指向Windows 系统目录的INF 文件夹(也就是%SYSTEMROOT%\Inf )。
即插即用管理器会根据设备范例ID 和兼容ID 寻找设备路径注册表键中所列出的相应驱动的路径,然后在0到0xFFFF 之间对发现的驱动进行排序[4]。
序号最低的驱动就会被安装,即装载。
usbstor.inf 文件明确地列出了操作系统所支持的设备ID 。
如果从设备描述符中所获取的描述符与usbstor.inf 文件中的任何一个相匹配,操作系统就会装载usbstor.sys 驱动[5]。
一旦驱动被装载,系统就会为每一个设备逻辑单元创建一个新的物理设备对象,即PDO 。
PDO 的格式如下:USBSTOR\v(8)p(16)r(4)在PDO 中,v(8)是一个8位字符的供应商标识符,p(16)是一个16位字符的产品标识符,r(4)是一个4位字符的版本级别。
通过设备管理器查看设备ID ,就会发现有另外的12位附加在设备ID 后面(如上所述)。
这是设备的序列号。
设备的设备描述符包含一个叫做iSerialNumber 的值,这就是含有设备序列号的字符串的索引。
如果iSerialNumber 的值是0x00,那么这个设备就没有序列号;否则它的值就是可以被找到的代表设备序列号的字符串的索引[6]。
这个序列号对这个设备来说是独有的,并且是用于识别系统中设备的独特方法。
这个序列号在其它的Windows系统中也是识别设备的独特方法。
注意图1设备属性的详细信息标签中显示设备范例ID图2通过UVCView 查看到的序列号跟踪USB存储:分析USB存储器所产生的Windows历史记录到对于每一个USB的详细描述,序列号并不是必须要含有的这一点很重要。
关于这方面的其它问题将在说明部分作深入探讨。
用USB连接的存储设备的序列号可以用UVCView[7]工具查看,这个工具可以从MS得到。
图2显示了通过UVCView查到的一个用USB连接的存储设备的序列号。
没有序列号的设备,将会在第二个“&”字符后面赋上12位字符。
详细说明如何创建这个标识符的文件是无法从供应商那里获得的,但是实验和经验表明倒数第二个字符也是“&”,并且最后的值与设备所连接的USB端口对应。
设备范例ID[8]是由即插即用管理器生成的,并且会随着同一个硬件所插入的同一个USB集线器端口的不同而变化。
一旦设备连接上并且用户已经访问了这个存储设备,连接的痕迹,即历史记录就会在注册表和文件系统中表现出来。
我们关注的第一个注册表键就是:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USB在这个注册表键下面还有一系列的子键,每一个都和之前介绍过的设备ID有相似的格式(即USB\VID_v(4)&PID_d(4)&REV_r(4))。
这些设备ID的每一个子键都有一个或者更多的子键,这些都是曾连接到过这个系统的设备的范例ID。
我们关注的第二个注册表键是:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USBStor在HKLM\..\Enum\USBStor键之下的子键和USB键之下的设备ID子键有相似的格式,但是这种十六进制的值可以被人们可以读懂的数值替换。
一般情况下,在USBStor键下将会有更少的子键,因为它具体到USB大容量存储设备,而USB键是为用USB连接的设备而设的。
就像USB子键一样,在USBStor键下的设备ID子键之下也有一个甚至更多的范例ID子键,它代表了每一个曾连接到这个系统的设备。
图3给出了对应的注册表键的样例,显示了同一个设备的USB和USBStor键的入口。
注册表有一个被称作“最后写入”时间并与它们相关的值。
这个值和最后修改时间相近,并和文件有关,因为它以某种方式表示了注册表键最后一次修改的时间。
当为了各种各样的值而查询注册表键时,根据与USB存储设备有关的用户行为,这个键的最后修改时间可以用来记录部分时间线。
图3标准USB存储设备的注册表入口样例3基于USB 接口的HID 设备接口设计·论文翻译4别外,带有驱动盘符的USB 存储设备可以通过查看如下注册表键下的注册表值看到。
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\为了确定这个USB 存储设备被分配了哪一个驱动盘符,我们必须从USBSTOR 下的设备注册表键的“ParentIDPrefix ”中取出值。
我们将利用图3中设备的值“8&2713a8a1&0”作为一个例子。
注册表键HKLM\System\MountedDevices (见图4)维护着安装管理器永久的名称数据库[9]。
这个键下的值由一系列不同的卷名称(以“\??\Volume{GUID}\”的格式存在)和驱动盘符(用“\DosDevices\C:”格式表示)组成。
安装点也可能包含在内(用如下格式表示:“\DosDevices\drive letter:\mountpoint ”)。
每一个这种符号链接都伴有特有的卷标识符(不要和特有的卷名称混淆)。
这种特有的ID 允许系统识别一些表示同一个卷的符号链接名。
这些特有的ID 包含了ParentIDPrefix 的值。
所有这些子键的值都以二进制的形式存储。
这个值(二进制数据,即REG_BINARY 数据类型)的小数点后35位是与具体子键有关的存储设备的ParentIDPrefix 值,如图5的屏幕截图所示。
这个信息可以用来将具体的USB 存储设备映射到分配给它的驱动盘符。
图6举例说明了贯穿USBStor 键并列举设备的Perl 脚本的输出。
Perl 脚本贯穿于USBStor 注册表键并且列举出每一个和设备ID 相一致的子键。
这个脚本显示了带有最后写入时间的设备ID ,就是键名右边括号中所显示的内容。
这个脚本对设备ID 键之下的每一个范例ID 键名做出相同的处理,另外,还显示出“DeviceDescr ”的值。
在这些现象的背后,图4安装设备的注册表键图5高亮显示ParentIDPrefix 的安装设备数据跟踪USB 存储:分析USB 存储器所产生的Windows 历史记录5这个脚本从每一个范例ID 子键中收集ParentIDPrefix 的数据。