当前位置:文档之家 › Windows操作系统环境下调查USB设备使用痕迹方法研究

Windows操作系统环境下调查USB设备使用痕迹方法研究

  • 格式:pdf
  • 大小:1.02 MB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

usb设备管理

usb设备管理

USB设备管理引言USB(通用串行总线)是一种常见的计算机外部设备连接接口,被广泛应用于个人电脑、笔记本电脑、移动设备等。

USB设备管理是指对连接到计算机的USB设备进行控制、监测和配置的一系列操作和管理任务。

本文将介绍USB设备管理的概念、常见任务和一些实用的工具和技巧。

USB设备的连接与识别当USB设备连接到计算机时,计算机系统会自动进行设备的识别与配置。

USB设备管理的第一步是确保设备正确连接并被识别。

在Windows操作系统中,可以通过以下方式来检查设备的连接与识别情况:1.打开“设备管理器”:在开始菜单中搜索并打开“设备管理器”。

2.寻找设备:在设备管理器中查找“通用串行总线控制器”下的设备列表,其中包括已连接的USB设备。

3.检查设备状态:通过设备列表中的设备状态来确认设备是否正常连接并被识别。

常见状态包括“正常工作”、“有问题”等。

如果设备正常连接但无法被识别,可以尝试以下方法进行排除:•重新插拔设备:有时设备连接不稳定或驱动程序出现问题,重新插拔设备可以尝试解决问题。

•更新驱动程序:访问设备制造商的官方网站,下载并安装最新的设备驱动程序。

•解决冲突:如果设备与其他设备存在冲突,可能导致设备无法正常工作。

可以通过设备管理器中的“更新驱动程序”功能来解决冲突。

USB设备驱动程序管理USB设备管理的另一个重要方面是驱动程序管理。

驱动程序是用于让计算机系统与USB设备进行交互的软件。

在大多数情况下,计算机系统会自动安装适当的驱动程序来支持连接的USB设备。

然而,有时驱动程序可能不正确或过时,导致设备无法正常工作。

以下是一些常见的USB设备驱动程序管理任务:1.更新驱动程序:访问设备制造商的官方网站,下载并安装最新的设备驱动程序。

这可以解决一些设备兼容性问题和错误。

2.卸载驱动程序:如果设备无法正常工作,可以尝试卸载设备的驱动程序,并重新安装驱动程序。

这将清除可能存在的错误或损坏的驱动程序。

查询电脑使用痕迹的方法

查询电脑使用痕迹的方法

查询电脑使用痕迹的方法查询电脑使用痕迹的方法通常包括以下几种:1. 查看开关机时间的记录:通过事件查看器可以查看电脑的开机和关机时间,这可以帮助你了解电脑的使用情况。

按下Win+R键打开运行对话框,输入“eventvwr.msc”命令并回车,然后在事件查看器中展开“Windows 日志”—选择“系统”,在右侧窗口中查看相关记录。

2. 查看最近使用过的文件和应用程序:Windows系统中有一个“Recent”文件夹,可以显示最近使用过的文件。

此外,通过Prefetch 文件夹也可以查看最近运行的程序。

浏览器的历史记录也会保存网页访问的痕迹。

3. 通过任务管理器查看使用记录:任务管理器可以显示当前正在运行的程序和服务,以及它们的使用情况。

按下Ctrl+Alt+Delete键打开任务管理器,从中可以查看到一些使用记录。

4. 第三方软件:还可以使用第三方系统监控软件来查看电脑的使用记录,这些软件通常提供更详细的信息,包括应用程序使用情况、键盘输入记录、屏幕截图等。

5. 查看安全软件的日志:如果你的电脑上安装了安全软件,如杀毒软件或防火墙,它们的日志文件中也可能包含有关电脑使用的信息。

6. 查看命令历史:对于使用命令行的用户,可以通过查看命令行的历史记录来了解之前执行过哪些命令。

7. 查看网络活动:通过查看网络连接状态和路由器日志,可以了解电脑的网络活动情况。

8. 查看用户账户活动:在“用户账户”设置中,可以查看到不同用户的登录和注销时间。

9. 查看电源使用情况:电源选项中通常会有电源使用情况的记录,这也可以从侧面反映出电脑的使用情况。

10. 查看打印机队列:如果电脑连接了打印机,打印机队列中的打印任务也可以反映出一定的使用情况。

11. 查看剪切板历史:有些剪切板管理工具会保存剪切、复制和粘贴的历史记录。

12. 查看文件和文件夹的历史版本:如果启用了文件历史或者使用了版本控制系统,可以查看文件和文件夹的历史版本。

跟踪USB存储:分析USB存储设备所产生的Windows历史记录

跟踪USB存储:分析USB存储设备所产生的Windows历史记录

跟踪USB存储:分析USB存储设备所产生的Windows历史记录关键词:USB存储Windows历史记录设备ID即插即用管理物理设备对象摘要当一个USB存储设备(比如一个U盘)连接到Windows系统时,系统就会创建一些标识符。

这些标识符,也称作历史记录,在系统关闭时仍然存在。

在许多情况下,这些历史记录可能被用来识别曾经连接到Windows系统的特定设备,以对存在的问题进行取证。

2005年爱思唯尔股份有限公司出版引言通用串行总线(USB)是允许将多种设备连接到计算机系统上的一种机制。

随着各种各样的设备通过USB连接到一台计算机上已经变得很普遍,本文仅限于那些可选择的、可移动的存储介质。

这不仅包括标准的“U盘”,还包括数码相机、个人媒体播放器以及伪装了的存储设备,比如一把包括数字存储空间和其它特征的瑞士小刀。

这种存储介质为用户快速交换文件提供了前所未有的便利。

近几年这种设备的价格疯狂下跌,但是其存储密度却有很大的提高。

这种存储设备在给用户带来方便的同时,也带来了不可忽视的安全风险,特别是在企业环境中。

这种容量大体积小的存储设备为下载和窃取大量隐私和敏感的信息提供了掩护。

一张标准的3.5英寸软盘虽然很容易藏在衣服的口袋里,但它只能存储1.44MB的数据,而一个拥有1GB甚至更大存储空间的U盘可以很容易的藏起来,并且可以容得下整个数据库。

许多数码相机在Windows系统中被用作标准的存储媒体,并且标有盘符,还可以像U盘一样使用。

为了提供从一个系统中转移数据的方法,USB存储设备可以将外部代码输入到另外的受保护的系统或者网络。

在限制了像防火墙和入侵检测系统等边界防御程序效率的情况下,终端用户如果使用了未经检查或未被监控的USB存储设备时,恶意的代码可能会在无意中或以其它方式引入。

当一个USB存储设备连接到一个Windows系统时,这个系统上的驱动器会收集这个设备的信息,然后它会利用这些信息在这个系统上建立一个独立的历史记录。

如何手动彻底消除U盘使用痕迹

如何手动彻底消除U盘使用痕迹

如何手动彻底消除U盘使用痕迹(2009-11-12 172234)一、原理有人说,这样不如用软件来清除啦,如USBClear,UsbCleaner,UsbViewer 等。

我试过,可以告诉你,上面这3个软件不管用!用专门检测工具一样可以查出来。

就拿像上网痕迹来说吧,就算你怎样清除、重装、格式化硬盘,专门的检测工具一样也可查到,而且上网记录是从你第一次使用IE开始,我给自己的电脑深度检测了一下,结果是2003年的上网记录也出来了,无奈啊。

没办法啦,近来检查多,刚好手头上有这类检测工具,所以也来研究一下。

通过检测工具检测发现USB使用记录是从重装系统那天开始记录的。

那如果重装可以消除,即说明,USB使用记录的确是保存在系统盘中,可以清除。

但上网记录就没办法清了,我想非低格不可,但没试过。

查阅过网上有许多资料,发现下面这个内容有用,所以就拿来分享了,呵呵。

作为操作系统,它不会保存无意义的U盘使用痕迹(如果故意设置后门当然不同),这些相关痕迹实际应该是操作系统快速识别移动存储设备必须的信息。

Windows一般使用注册表来存储这样的信息,但是对于系统的重要更改,一般也会保留.log的日志以方便排错。

对于计算机系统来说,U盘这样一个东西,实际是多个设备协同工作的系统。

这样一个系统包括通用串行总线-USB设备(含USB接口大容量存储设备-USB Mass Storage Device)、磁盘驱动器、存储卷。

从用户角度看,应该顺序是反过来的。

首先关心的是实际存储数据的卷。

那么,操作系统必须为用户关心的卷保留指向具体设备的信息。

对于每款U盘,厂方会写入制造商和产品信息,文本形式表示为Ven_XXXX&Prod_XXXX;数字形式表示为Vid_nnnn&Pid_nnnn;制造商和产品的ID均为4位16进制数字,加上四位版本号,对于一款产品可以用12位16进制硬件编号来表示,也就是24bit 长度ID,跟网卡的MAC有点类似) (为什么硬件设备中24位长经常出现呢),不过与MAC地址不同,U盘是以32bit厂的2进制数作为唯一标识的。

Windows环境下痕迹的提取与行为分析

Windows环境下痕迹的提取与行为分析
具 的兼 容 性 不 是 很 强 , 只 有 在 特 定 版 本 上 的 操 作系统才能正常运行, 所 以监控 工具的选择 是
制 了该用 户的 计算机 ,因此 攻击 者经 常通 过 控 制被 攻 击者 的注册 表来 控制 其 计算机 ,如 通 过 修改 启动项 等 ,就很 容易启 动攻 击者 的
AC Mr u \ 5 6 0 3中 。复制或粘贴数据时 ,这些数 2 . 1痕迹监控的环境 据会暂时遗 留在 内存 中。大部分程序运 行时 都 会产生临时文件 ,这些被放在系统和用户 的临
时 目录 中 。 要 进 行 痕 迹 的 分 析 , 首 先 要 做 的 是 搭 建
实验 的环境 。搭建 实验环境 需要一 台虚拟机 ,
台 下 的痕 迹 提 取 和 分 析 。
【 关键 词】信 息安全 用户使用痕迹 痕迹提取 构 ,它包含 了两 个可以隐藏的重要记录 类型。
分 析 行 为分 析
第 1个类 型是键 ,第 2个是键值。由于注册表 的结 构,隐藏注册键 比隐藏文件 和进程 要复杂

VMwa r e Wo r k s t a t i o n允 许 操 作 系 统和 应 用程 序在 一台虚 拟机 内部 运行 。虚 拟机 是独 立运行主机操作系统的离散环境 。在 VMwa r e
放或遗留于 内存 、注册表 、文件 、隐藏 目录或
者 硬 盘 的 空 白区 域 。根 据 计 算 机 使 用 情 况 ,可
个 函数 ) ,它们所 做的工作 基本一样 ,都 是使 虚拟机,它可以运 行 自己的操作 系统和应用程
用 索 引 获 取键 / 键 值 ,并 返 回一 个 缓 冲 区 指 针 。 序 。 你 可 以 在运 行 于桌 面 上 的 多 台虚 拟 机 之 问

检查USB设备的使用记录

检查USB设备的使用记录

检查USB设备的使用记录打开注册表,删除:1)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \DeviceClasses\{53f56307-b6b f-11d0-94f2-00a0c91efb8b}下的所有项2)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB 下所有Vid开头的项3)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB STOR 下的所有Disk&Ven开头的项4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Us bFlags 下所有项5)删除c:\windows\setupapi.log 文件不良影响:之前使用过的USB设备要重新识别一遍才能使用。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \DeviceClasses\{53f56307-b6b f-11d0-94f2-00a0c91efb8b}下的所有项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ USB 下所有Vid开头的项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB STOR 下的所有Disk&Ven开头的项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \UsbFlags 下所有项c:\windows\setupapi.log 文件运行Usblog.exe,会在桌面上生成一个txt文件,里面记录了你电脑上所有使用过的USB 设备的信息。

可以看看是不是有人在你不知道的时间用过U盘等工具拷贝你的资料。

Windows系统USB历史痕迹分析


报警信息, 并通 过更新客户端注 册表文件的方法 , 阻止终端 联 监控 发现连接互联网行为, 安全保密管理系统都能够 向安
应用该违规U B S 设备。 全保密管理员发 出报警信息并同时记录违规 日志。
4 违 规处理 涉密文件发现
核心 在 于对 当前 文 档 信 息进 行 实 时监 控 , 系统 最近
U i e s l e i l U 通 用串行 总线 ) I t l n v r a S r a B S( 是 n e、
备 生产商P I在前。 VD 记录形成机制
Mc oot ir s 与有
限的主板插槽 和端 口之 间的矛盾而于1 9 年提 出制定的。 95 它
构。
当U B S 存储设备通 过U B 口连接 ̄ W n o S S接 O i d w 系统时, 操
确切描述符, 以确定设备的制造商、 版本号、 设备种类 以及其
是一种用 于将适用U B S 的外 围设备连 接到主机 的外部总线结 作系统查找新硬件的附加 信息 , 驱动 器就会寻求这个设备的 UB S 显著优 点就 是支持热 插拔 , 论上可以支持 1 7 理 2 个 他信息。 如果U B S 集线器驱动发现一个新 的U B S 设备连接到这
就会按照如下格式创建设备实例标 识符 ( 设备I): S WI— 通 过浏览器访 问过的网址、 问时间、 D UB D 访 历史记录等信息。 实际
v4& I_ ()R V r4。 ()PD d4& E _ ()
上它是一个保存了终端所有c o i 、 o k e 历史记录和I 临时文件 E
通 过对 当前 系统 内H E - O A - A H N \ y t m 中所记录 内容 的副本 。 K YLC LM C IES se\ 并且id xd t n e .a文件是被系统保护的, C r e to t oS tE u \ S 键值的实时分析和检索, u r n C n r le\ n mU B 如果 即使在 I 中把这些 内容 都清除了, i dx d t ̄ 中的记录 E 但 n e .a 3 如果发现被 管理 终端存在上网痕迹或通过违规外 发现 与预定义合法 U B S 线索不一致情况 , 则在 服务器端产生 还是存在。

编写 USB 存储设备使用痕迹检测和删除工具

编写 USB 存储设备使用痕迹检测和删除工具(C# Windows Form 编程练习)第一节准备知识之前一直都是用 Visual Basic .Net 来写 Windows Form 程序。

这几天,熟悉了一下 C# 语言的语法,想练习一下。

以前使用过一些 USB 存储设备使用痕迹检测和删除工具,于是想写了一个小工具来模拟这些功能。

USB 存储设备在使用后会在注册表留下一些记录,一般是通过检索相应的注册表键值来检查使用痕迹。

这些键值包括:[csharp]view plain copy print?1.HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USB2.HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USBSTOR3.HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}4.HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USB HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USB STORHKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\ DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\ DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}其中 ControlSetXXX 和 CurrentControlSetXXX 表示的是注册表中的类似于ControlSet001、ControlSet002、CurrentControlSet 这样的子键(CurrentControlSet 子键一般只有一个,特殊情况下可能有CurrentControlSet001 等多个,同样的 ControlSet 一般只有 ControlSet001 和 ControlSet002 这两个,特殊情况下可能会有多个),CurrentControlSet 保存的是系统的当前的一些配置信息,而 ControlSet001 等则是对当前配置信息的备份,一般注册表都会有两个以上的备份,有的时候可能会有更多。

谈Windows系统下USB存储设备的管理

t c fu i g t e Re v b e S o a e i i d wsOS a d h w o s il h ie s ei n e a e a a a l. Th a e ic s ste fai r e o s mo a l t r g n W n o n a n h o t h e t e Un v r lS r lI tr c v  ̄ b y d a a f e p p rd su s h e s e —
4屏 蔽方 法
目前 , 电脑 主 板 均 配 置有 多个 U B端 口。 蔽这 些 U B端 口 S 屏 S 的方 法 主要 有 五 种 : ( 使 用 主 板 BO 1 ) I S提 供 的 管 理 功 能 ;
( 采 用 物 理 方 式 对端 口进 行 封 堵 ; 2 1 (对注册表进行修改 ; 3 1 ( 对 U B配 置 文 件 进 行 权 限 管 理 ; 4 ) S ( 使 用 第 三 方 软 件进 行 管 理 。 5 1 41使 用 主 板 BO . I S提 供 的 管理 功能 参 考 各 型 号 的主 板 的 说 明 书 进 行 设 置 . 同 主 板 其 设 置 的方 不 法 不 同 。 合 图片 将 端 口 E ald 项 更 改 为 D sb d即可 ( 图 结 nb 选 e i l ae 如
1 引 言
即 插 即 用 是 lt 开 发 的一 组 规 范 , 允许 计 算 机 自动 检 测 和 ne l 它 配 置 设 备 并 安 装 适 当 的设 备驱 动 程 序 。通 用 串 行 总 线是 支持 即插 即用 安 装 的外 部 总线 ( 被 称 为 U B) 也 S 。使 用 U B时 , 需 要 关 闭 S 不 或重 启 汁算 机 就 能连 接 和 断开 设 备 。 用 一个 U B端 口可 以连 接 使 S 多达 l7个 外 部设 备 。 2 目前 , 移 动 存 储 设 备 大 多 数 利 用 的 就 是 U B 接 口 ( 括 S 包 U B ., S 20等 标 准 ) S 1 UB. 0 。文 中将 移 动 硬 盘 、各类 数 码 扩 展 卡 、 闪 存 、 盘 等 统称 为移 动 存 储 设 备 。 于 U B 口的管 理 , 要从 管 理 优 对 S 需 制 度上 、 术 上 进 行 控 制 , 中 以微 软 的 Widw 操作 系 统 为 例 . 技 文 no s 从 移动 存 储 设 备 的使 用 痕 迹 和 有 效 屏 蔽 通 用 串行 接 口进 行 分 析 . 可 以 看 . S 口移 动 设 备 的使 用 对 于企 业 的计 算 机 管 理 及 保 密 UB T 作具 有 重 要 影 响 。

USB使用痕迹追踪技术


HEKY_LOCAL_MACHINE\SYSTEM\CurrentCtrolSet\Enum\USB下创建一个子键,形式为Vid_1043Pid_8012,第一个4位数据是销售商代码、由USB协会分配给各销售商;第二个4位数字是产品代码,由销售商分配给其生产的产品,这个键的子键记录的就是设备的序列号。序列号子键下有个键值Driver,根据Driver的具体值可以在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class下找到对应GUID下的子键也记录了USB设备的使用信息;序列号子键下还有键值ClassGUID和Service,如果他们的值分别是{36FC9E60-C465-11CF-8056-444553540000}、USBSTOR,说明这个设备是一个USB存储设备;如果ClassGUID的值为{4D36E96D-E325-11CE-BFC1-08002BE10318},则说明是一个Modem设备,如果ClassGUID的值为{6bdd1fc6-810f-11d0-bec7-08002be2092f}则说明是一个摄像头。当为非存储设备时,检查是否存在相同序列号的存储设备,如果存在,说明这是一个通过USB接口可以以不同模式与计算机连接的设备,比较常见的为手机。
USB接口的设备与计算机连接后,会在注册表和系统目录下的日志文件setupapi.log中留下使用痕迹,当设备与计算机断开连接后,这些痕迹依然存在。在保密检查中,这些痕迹被作为USB设备使用的证据被检查出来,证据中包含了USB设备的类型、销售商代码、产品代码、设备序列号等信息。
ห้องสมุดไป่ตู้USB设备使用痕迹在注册表中位置
USB设备使用痕迹在日志文件中的位置
通过日志文件setupapi.log中记录的信息可以获取到USB设备第一次使用时间,第一次使用时间在日志中的存储形式如下,USB设备的其他使用痕迹在日志文件中的存储形式与此类似。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。