我使用 FTK 图像对 PC 的文档和注册表文件进行图像处理。我想检查某个 USB 磁盘,检查它上次使用的时间和拔出的时间,以及在此期间的活动(如果可能)。执行此操作的正确工具\方法是什么?
答案1
在我的工作场所我们使用NIRSoft 工具 USBDeview。通过其命令行参数,我们提取设备名称、VID/PID、驱动程序的安装时间和日期、插入时间、USB 设备类型(磁盘、外部 CD-ROM、4G 调制解调器等)、供应商、卷 GUID、卷名(例如“F:\”)、实例 ID/序列号以及其他一些详细信息。
我们使用它来追踪在事件响应期间恶意软件是否被带入非公司 USB 驱动器,并使用它来执行我们公司的 USB 政策。