如何检查用户是否连接了外部硬盘？

Question 1

在 Windows 上，它存储在注册表中 - 通常HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 在此处输入图片描述

我还会查看setupapi.logWindows %windir%7 之前系统上的驱动程序安装（它应该是%windir%\INF\setupapi.dev.log和% windir%\INF\setupapi.app.log，但是我参加的取证课程完全忽略了这个位置，所以我对此并不完全熟悉） - 如果驱动程序在那里，并且它的设备不在注册表中，你就知道有些东西出了问题。

我建议你阅读这篇文章反取证我用它来回忆它到底在哪里。

Answer

在 Windows 上，它存储在注册表中 - 通常HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 在此处输入图片描述

我还会查看setupapi.logWindows %windir%7 之前系统上的驱动程序安装（它应该是%windir%\INF\setupapi.dev.log和% windir%\INF\setupapi.app.log，但是我参加的取证课程完全忽略了这个位置，所以我对此并不完全熟悉） - 如果驱动程序在那里，并且它的设备不在注册表中，你就知道有些东西出了问题。

我建议你阅读这篇文章反取证我用它来回忆它到底在哪里。

Question 2

如果 USB 设备已连接并安装在 Windows 中，则会记录在 Windows 注册表中。

您可以使用USB查看器查看任何连接到运行该设备的 PC 的 USB 设备。它从 Windows 注册表中提取信息。

USBDeview 是一个小型实用程序，它列出了当前连接到您的计算机的所有 USB 设备，以及您以前使用的所有 USB 设备。对于每个 USB 设备，都会显示扩展信息：设备名称/描述、设备类型、序列号（用于大容量存储设备）、添加设备的日期/时间、VendorID、ProductID 等。

USBDeview 还允许您卸载以前使用的 USB 设备、断开当前连接到计算机的 USB 设备以及禁用和启用 USB 设备。您还可以在远程计算机上使用 USBDeview，只要您以管理员用户身份登录该计算机即可。

解决此问题的唯一方法是手动从注册表中删除所有指向该特定设备的条目以及 Journeyman Geek 提到的其他 Windows 位置。USBDeview 卸载功能可能无法删除注册表中该设备的所有痕迹。

Answer

如果 USB 设备已连接并安装在 Windows 中，则会记录在 Windows 注册表中。

您可以使用USB查看器查看任何连接到运行该设备的 PC 的 USB 设备。它从 Windows 注册表中提取信息。

USBDeview 是一个小型实用程序，它列出了当前连接到您的计算机的所有 USB 设备，以及您以前使用的所有 USB 设备。对于每个 USB 设备，都会显示扩展信息：设备名称/描述、设备类型、序列号（用于大容量存储设备）、添加设备的日期/时间、VendorID、ProductID 等。

USBDeview 还允许您卸载以前使用的 USB 设备、断开当前连接到计算机的 USB 设备以及禁用和启用 USB 设备。您还可以在远程计算机上使用 USBDeview，只要您以管理员用户身份登录该计算机即可。

解决此问题的唯一方法是手动从注册表中删除所有指向该特定设备的条目以及 Journeyman Geek 提到的其他 Windows 位置。USBDeview 卸载功能可能无法删除注册表中该设备的所有痕迹。

如何检查用户是否连接了外部硬盘？

答案1

答案2

相关内容