我们可以创建和删除其他注册表项,但无法删除下的子项HKEY_Local_Machine\System\CurrentControlSet\Enum\USBSTOR。我们在 Windows 10 Enterprise 上尝试过,我们在管理员组中,以及在管理员模式下的命令提示符和 regedit。我们也在 Windows 10 Home 版本上尝试过,但无济于事。
还有人遇到过这种情况吗?有人有解决方案吗?
答案1
@John 的链接是我的答案,因为该工具非常棒,最终将成为我解决方案的一部分。感谢您的所有建议!
https://www.sciencedirect.com/topics/computer-science/window-registry
答案2
密钥下Enum\USBSTOR会显示插入计算机的设备的动态列表。我使用 USB,但没有密钥。这可能取决于特定的计算机。
由于清理和/或没有 USB 错误,它也可能不在我的计算机上。
这是一篇关于 USBSTOR 属性的好文章
已连接的 USB 设备 Windows® 保留所有已连接的 USB 可移动存储设备(拇指驱动器、iPod、数码相机、外部硬盘等)的历史记录。此信息对于了解哪些设备之前(或当前)已连接到嫌疑人的计算机以及由哪个用户连接至关重要。
Windows® 使用五个注册表项存储与 USB 历史记录相关的信息,每个注册表项都提供有关所连接设备的不同信息。结合这些信息,调查人员可以清楚地了解嫌疑人如何使用可移动存储设备发起事件。
答案3
您可以获得执行程序实用工具学习微软,这允许您以系统权限运行进程。
您可以使用它以系统身份运行 RegEdit 并手动删除注册表中提到的键,使用以下 cmd 命令:
PsExec.exe -s -d -i "C:\Windows\regedit.exe"
- -s 在系统帐户中运行远程进程。
- -d 不要等待进程终止(非交互式)。
- -我 运行程序,使其与远程系统上指定会话的桌面交互。如果未指定会话,则进程在控制台会话中运行。尝试以交互方式(使用重定向标准 IO)运行控制台应用程序时,此标志是必需的。