Первоначально я столкнулся с этим из жалобы Citadel LLC на бывшего сотрудника. Текст жалобы: http://www.scribed.com/doc/63606232/Citadel-vs-Yihao-Ben-Pu
С подачи:
«Судебные доказательства подтвердили, однако, что Pu также использовал 500-гигабайтный внешний жесткий диск (Western Digital Elements 1023)»
Как на самом деле узнать, подключил ли пользователь внешний жесткий диск?
В Windows он хранится в реестре - обычно это HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 
Я бы также посмотрел setupapi.log на %windir% для установки драйверов в системах старше Windows 7 (предполагается, что это %windir%\INF\setupapi.dev.log и% windir%\INF\setupapi.app.log , но классы судебной экспертизы, которые я посещал, полностью игнорировали это местоположение, поэтому я не совсем знаком с этим) - если драйвер есть, а его устройство отсутствует в реестре, вы знаете, что что-то не так.
Я бы отослал вас к этой статье об антифорезонике, которую я использовал, чтобы освежить мою память о том, где именно это находится.
Если USB-устройство подключено и смонтировано в Windows, оно записывается в реестр Windows.
Вы можете использовать USBDeview, чтобы увидеть любое USB-устройство, когда-либо подключенное к любому ПК, на котором вы его запускаете. Он извлекает информацию из реестра Windows.
USBDeview - это небольшая утилита, которая перечисляет все USB-устройства, которые в данный момент подключены к вашему компьютеру, а также все USB-устройства, которые вы ранее использовали.Для каждого USB-устройства отображается расширенная информация: имя / описание устройства, тип устройства, серийный номер (для запоминающих устройств), дата / время добавления устройства, VendorID, ProductID и т.д.
USBDeview также позволяет вам удалять ранее использовавшиеся USB-устройства, отключать USB-устройства, которые в данный момент подключены к вашему компьютеру, а также отключать и включать USB-устройства. Вы также можете использовать USBDeview на удаленном компьютере, если вы входите на этот компьютер с правами администратора.
Единственный способ обойти это - вручную удалить все записи из реестра, которые ссылаются на это конкретное устройство, а также на другие места Windows, упомянутые Journeyman Geek. Функция удаления USBDeview не может удалить все следы устройства в реестре.
