我知道这听起来有点荒谬,但有人从我的隔间里偷走了我的鼠标。早上我来上班,正要推一下鼠标来唤醒显示器,但它不在那里!
我想知道这是什么时候发生的。我运行的是 Windows 7,它是 USB 鼠标。我检查了事件日志,但似乎没有任何日志可以告诉我我在寻找什么。
有地方记录 USB 拔出事件吗?
答案1
不幸的是,没有日志记录 - 这些事件永远丢失了。我一直想要dmesg
在 Windows 上有一个类似的功能。
在 Windows XP 及更早版本中,您可以使用它winmsd
来生成系统配置输出,但在更高版本中,它已被替换为msinfo32
(我不太确定是否解析其输出的 GUI 应用程序)。
不过,这两种方法都只能提供特定时间点的信息,因此,对于鼠标盗窃侦查工作,您需要定期将输出记录winmsd
到文件中。我必须承认,我个人以后会采用网络摄像头的建议。
答案2
现在可能已经太晚了,但确实有几款软件可以做到这一点。最容易使用的就是USB日志查看器
其他不太友好的选择是Windows USB 存储解析器或 Microsoft 的 USBView(Win7 上的 UVCView),它随 Windows 驱动程序工具包 (WDK) 一起提供。
如果您确实愿意亲自动手,请打开 RegEdit 并查找以下条目:
描述:已安装的 USB 设备列表,包括已连接和未连接的地点: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB你为何关心:了解连接到盒子的 USB 设备,甚至在某些情况下了解设备的供应商和序列号,都很有用。想想有人将数据复制到拇指驱动器?这可能有助于您追踪拇指驱动器。想想它对于将用户实际拥有的东西与盒子联系起来有多大用处。
描述:已安装的 USB 存储设备列表地点: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR你为何关心:与已安装的 USB 设备条目非常相似,但仅适用于 USB 存储。认为有人将数据复制到了拇指驱动器?这可能有助于您追踪拇指驱动器。上次测试时,CleanAfterMe 会清除 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB,但不会清除 USBSTOR。