我想检查过去 30 天内连接到我的计算机的设备。
有没有办法在 Windows 7 中查看已连接的 USB 设备(包括卷名)的历史记录?
答案1
您属于取证领域,因此您应该在 Google 中搜索该领域。其中一些问题在于它没有正式记录。但是,任何外部设备信息(即使之前已连接)都将记录在某些注册表项中。诀窍是找出哪些信息以及以何种格式记录。
已经有一段时间了,但我记得一开始是这样的:
HKLM\System\MountedDevices
每个密钥的格式为 REG_BINARY,但它是 16 位文本。每个已连接的设备都有 GUID、设备名称及其序列号。
我不用亲自去做,但我可以给你举几个例子。例如:
名称:\??\Volume{c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID...}
如果我解码 REG_BINARY 中的数据,我会得到一个 GUID,它可以交叉引用,比如说,
名称:“\DosDevices\E:” REG_BINARY .....(此处某处有相同的 GUID)
因此,您将从第一个密钥中获取详细信息和序列号,并在第二个密钥中查看其连接的位置。GUID 还可用于在其他密钥中查找相同的 USB 设备及其序列号,具体如下:
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{GUID}
简而言之,还有其他几个您感兴趣的关键词:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
如果“HKLM\SYSTEM\MountedDevices”键中的 GUID 与此键中的 GUID 匹配(对于此用户 - 它是 HKCU,而不是 HKLM),则指示当连接该特定 USB 设备时哪个用户登录。“上次写入时间”也在这里的某个地方。
HKLM\SYSTEM\CurrentControlSet\控制\设备类\
此处的子项(再次是 GUID)包括设备名称、其序列号和其他 GUID 子项。还会捕获每个设备连接和随后移除的时间线。
我没有深入研究实际示例,因为我需要解码 REG_BINARY,但如果您希望,我可以重新编辑这篇文章并添加详细信息。请注意,我使用 REG QUERY 来深入研究这个问题,但我刚刚注意到,如果您双击某个键(不要编辑它!!),regedit 将为您解码详细信息