Я хочу проверить, какие устройства подключены к моему компьютеру за последние 30 дней.
Есть ли способ просмотреть историю подключенных USB-устройств (включая имя тома) в Windows 7?
1 ответ
2
Вы находитесь в области криминалистики, так что это то, что вы должны искать в Google. Проблема с некоторыми из этого заключается в том, что это официально не задокументировано. Однако любая информация о внешнем устройстве, даже если она была ранее прикреплена, будет записана в определенные разделы реестра. Хитрость заключается в том, чтобы выяснить, в каком и в каком формате.
Это было давно, но я помню, как начал с:
HKLM\System\MountedDevices
Формат для каждого ключа - REG_BINARY, но это 16-битный текст. Существуют GUID для каждого подключенного устройства, имя устройства и его серийный номер.
На самом деле, не уходя и не делая этого сам, я могу привести несколько примеров. Например:
Name: \??\Volume{c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID...}
Если я декодирую данные в REG_BINARY, я получу GUID, который будет ссылаться, скажем, на
Name: “\DosDevices\E:” REG_BINARY ..... (same GUID in here somewhere)
Таким образом, вы получите данные и серийный номер от первого и увидите, где он был подключен во втором. GUID также можно использовать для поиска того же устройства USB и его серийного номера в других ключах, а именно:
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{GUID}
Вкратце, несколько других ключей, которые вас интересуют:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Если GUID из ключа «HKLM \SYSTEM \ MountingDevices» совпадает с GUID в этом ключе (для этого пользователя - это HKCU, а не HKLM), то указывает, какой пользователь вошел в систему при подключении данного конкретного устройства USB. «Время последней записи» тоже где-то здесь.
HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\
Подключи здесь (опять же GUID) включают имя устройства, его серийный номер и другие подразделы GUID. Также фиксируется временная шкала, когда каждое устройство было подключено, а затем удалено.
Я не углубился в реальные примеры, так как мне нужно было бы декодировать REG_BINARY, но я могу переиздать этот пост и добавить детали, если хотите. Обратите внимание, что я использовал REG QUERY, чтобы разобраться с этим, но я только что заметил, что regedit расшифрует детали для вас, если вы дважды щелкнете по клавише (не редактируйте ее !!)