追踪我的笔记本电脑访问过的闪存驱动器

追踪我的笔记本电脑访问过的闪存驱动器

我的笔记本电脑上存储了一些个人信息,我怀疑有人将这些信息复制到了 USB 便携式闪存盘上。有什么方法可以追踪我的笔记本电脑访问过的闪存盘列表 - 即它们的品牌名称、容量和/或 USB 闪存盘本身的名称?

我的 Windows 7 计算机是否会创建已插入闪存驱动器的历史记录?如果会,此日志还包含哪些其他信息?

我还了解到一些 USB 闪存驱动器会自动运行驱动程序安装,这会显示吗?

答案1

我还了解到一些 USB 闪存驱动器会自动运行驱动程序安装,这会显示吗?

并非如此。实际情况是,由于它们符合标准规范,因此 Windows 可以并且确实会为它们加载通用存储和卷驱动程序。每当您插入新驱动器时,它都会执行此操作,其中“新”表示驱动器和 USB 端口的组合(即,将驱动器插入两个不同的端口会导致 Windows 将其检测为新驱动器并(重新)加载驱动程序两次)。

有没有什么方法可以追踪我的笔记本电脑访问过的闪存驱动器列表 - 即它们的品牌名称、容量和/或 USB 闪存驱动器本身的名称?

我的 Windows 7 计算机是否会创建已插入闪存驱动器的历史记录?如果会,此日志还包含哪些其他信息?

并非如此。没有驱动器日志,主要是因为没有关于驱动器的实际数据。驱动器确实包含固件,通常包含一些关于它的元数据,但没有什么可以阻止制造商在驱动器的固件中放入很少、通用甚至不正确的数据。

尽管如此,Windows 注册表确实会保留一些有关外围设备的伪唯一信息,以便检测新设备,从而知道它是否有驱动程序。最有用的数据位于键中HKLM\SYSTEM\CurrentControlSet\Enum\STORAGE\Volume。它将包含已连接到系统的每个已知存储设备的设备 ID。

您可以手动查看数据,但更好的方法是使用程序来解释数据并以更人性化的方式显示它们,例如开发者视图或者USB查看器

但是,正如我所说,想要偷窃数据的人没有理由不能使用嵌入了通用、空白或欺诈数据的驱动器(或者只是事后从注册表中擦除数据)。此外,数据可能不是完全唯一的。例如,如果您将新的闪存驱动器插入系统并等待 Windows 安装驱动程序,然后将其弹出并插入另一个但相同的驱动器,您很可能会注意到 Windows 不会加载新的驱动程序,因为它的“指纹”匹配。

将来,您可以使用USB日志查看器。它不会帮助记录过去的 USB 驱动器活动,但它会记录未来的活动。

Nirsoft 的 USBLogView 的屏幕截图

相关内容