Реестр usb устройства

История USB подключений в Windows 10, 8, 7, Vista, XP

Как посмотреть историю подключения USB?

Недавно на сайте был задан интересный вопрос. Автор интересовался можно ли посмотреть историю подключения USB. Если есть интерес значит надо об этом написать. Кроме того данная тема относится к Форензике — компьютерной криминалистике, а как вам известно эта тема переплетается с тематикой нашего сайта.

Поэтому в данной статье я решил рассказать про все способы, которые позволяют узнать: когда и какие USB устройства подключались к компьютеру под управлением операционной системы Windows.

Если вы пользуетесь социальной сетью ВКонтакте, то вам будет интересно узнать как с помощью функции «История активности ВКонтакте» узнать о взломе своей страницы.

История USB подключений

  • История USB подключений в реестре
  • Программы для просмотра истории USB подключений
    • История подключения USB устройств программой USBDeview
    • История подключений USB программой USB History Viewer

Существуют несколько способов: ручной — это когда самому надо копаться в реестре Windows и с использованием специальных программ. Я поверхностно расскажу про реестр и более подробно поговорю о программах, так как это на мой взгляд самый легкий и удобный способ вытащить историю использования USB девайсов.

История USB подключений вручную

Все данные о подключениях USB хранятся в реестре Windows в этих ветках:

Если опыта нет, туда лучше не соваться. А если решитесь, то хотя бы делайте бекап или снимок реестра. Как это сделать мы писали в статье «Отслеживание изменений реестра»

История USB подключений программами

Идеальным для меня способом является использование специальных программ. Я представлю две программы, у каждой есть свои достоинства. Для вашего удобства в конце статьи я прикрепил архив для скачивания всех программ разом.

История USB подключений программой USBDeview

USBDeview — это маленькая, бесплатная программа для просмотра и анализа истории подключения USB- устройств, таких как флешка, внешний жесткий диск, смартфон, планшет, USB мышка, клавиатура и т.д.

Скачать USBDeview

Скачать USBDeview бесплатно вы можете по этой прямой ссылке английскую версию. А Русскую версию здесь с файлообменика.

Автор программы известный Израильский программист Нир Софер, который написал большое количество бесплатных, полезных приложений.

Использование USBDeview

После того как скачали, разархивируйте и запустите файл «USBDeview.exe». Версия портабельная, т.е не требует установки, и после запуска мгновенно запустится.

Быстренько просканировав компьютер USBDeview отобразит список всех ранее подключенных USB-устройств.

Вот какую информацию может показать программа:

  • Имя устройства
  • Описание
  • Первое подключение
  • Последнее подключение
  • Буква диска
  • Серийный номер
  • Производитель устройства
  • Версия USB
  • И т.д.

Есть еще куча другой информации, но большинству для того чтобы отследить кто и когда подключал к компьютеру флешку наверное хватит даты подключения, названия и описания USB-устройства.

Это по поводу информации которую может предоставить данная утилита. Но кроме этого программа может отключить, включить, удалить а также запретить USB устройства. Если вы собираетесь проделывать какую-нибудь из этих вышеперечисленных операций, то я настоятельно рекомендую сделать предварительно бекап или точку восстановления системы. Если же вы желаете просто просмотреть историю подключений, то делать бекап не требуется.

Кроме этого программа умеет работать из командной строки. Т.е. используя специальные команды можно получить всю информацию удаленно. Подробнее о командах вы можете узнать на сайте разработчика.

Ну, и конечно все полученные данные можно сохранить в виде отчета во всевозможные форматы от *.txt до *.html.

История USB программой USB History Viewer

Следующая программа с которой я хочу вас познакомить — это USB History Viewer. Утилита отображает информацию только о подключенных флешках и внешних жестких дисках.

Скачать USB History Viewer

Скачать USB History Viewer бесплатно вы можете по этой ссылке только английскую версию.

Использование USB History Viewer

Запускаем программу и видим три поля.

  1. Computer name — Имя компьютера
  2. Authentication — Авторизация
  3. Get USB History — Список флешек

В первом поле выбираем компьютер. Во втором поле прописываем данные авторизации и нажимаем Start. Если необходимо вытащить информацию по текущему компьютеру и пользователю, то нечего не меняем, оставляем все поля как есть.

Данная программа лично мне нравится меньше, хотя имеет свои плюсы. Главным достоинством является умение вытаскивать историю использование флешек удаленно в локальной сети, но это требует логина и пароля удаленной машины.

На самом деле есть еще программа Internet Evidence Finder, но из-за ее фантастически высокой цены я даже рассказывать про нее не стал. Мощная утилита, но стоит 999$. Если вы профи Форензики, то вперед, но большинству хватит и этих инструментов.

Скачать архив с представленными в статье программами вы можете по этой ссылке.

На этом все, друзья. Надеюсь вам помогла данная статья и вы смогли посмотреть историю подключения USB. В целом это очень нужные программы, которыми надо уметь пользоваться, иметь у себя в архиве программ, ну или хотя бы как минимум знать об их существовании.

Кстати, чтобы не пропустить обзоры других подобных программ обязательно подпишитесь на наши паблики в социальных сетях. В будущем будет еще больше интересного!

www.spy-soft.net

История использования USB

Ни для кого уже не секрет, что информация о разного рода активности многочисленных компонентов операционной системы попадает в реестр и файлы в виде записей заданного формата. При этом, информация эта нередко содержит чувствительные пользовательские данные: историю посещенных браузером страниц, кеш данных программ, информацию о подключаемых устройствах и многое многое другое. Во основном журналирование обеспечивается функциональными особенностями пользовательских программ, которые имеют встроенные алгоритмы сохранения истории операций, отчасти это возможно благодаря архитектурным особенностям ядра/HAL операционной системы, которые, производя конфигурирационные действия с устройствами, сохраняют информацию о последних в виде записей в системном реестре. Из всего многообразия подобной информации, в рамках данной статьи нас будет интересовать исключительно история использования USB устройств.

Система создает артефакты в момент обнаружения (инициализации) устройства (сменных накопителей, модемов, гаджетов, камер, медиаплееров и прч.) на шине компьютера. Дополнительным плюсом данного материала будет возможность сбора доказательной базы по факту неправомерного использования рабочей станции пользователя в корпоративной среде при помощи незадекларированных USB-устройств.

Не так давно в нашу жизнь вошел интерфейс USB, привнеся в неё довольно существенные изменения. Неожиданно многие вещи стали проще, отпала необходимость инсталляции устройства во внутренний интерфейсный разъем (шина), или внешний интерфейс, требующий перезагрузки станции для корректной инициализации устройства, да и сам процесс конфигурирования устройств стал, во множестве случаев, тривиальнее. На интерфейсе USB появились тысячи разнообразных по назначению устройств, которые достаточно было подключить к разъему на панели корпуса, после чего от момента подключения до состояния «готов к работе», порой проходили считанные минуты. Наряду с очевидными достоинствами: легкостью конфигурирования/использования, компактностью, функциональностью, подобные устройства сразу стали источником проблем как для безопасности персональных данных самого пользователя, так и безопасности корпоративных сред. Компактный, легко маскируемый «брелок» с интерфейсом USB может запросто явиться той ахиллесовой пятой, которая станет причиной «падения» гиганта корпоративной безопасности. Если порты USB в корпоративных рабочих станциях находятся без надлежащего контроля со стороны политик безопасности, то любое приспособление может запросто выступить в качестве средства для обхода периметра безопасности компании. И тут уж насколько хватит фантазии «взломщика», например, достаточно пронести на флешке свежий, не определяемый антивирусами вредоносный код и выполнить его (умышленно или нет), и вот вам уже прецедент, поскольку даже без локальных административных привилегий учетной записи пользователя сохраняется пространство для маневра. Не меньшую опасность представляют и USB-модемы, которые, в случае установки (а при использовании локальных/доменных политик по умолчанию это достигается достаточно просто), могут выступить в роли неконтролируемого канала передачи данных, по которому может осуществляться передача чувствительной корпоративной информации за пределы защищенного внутреннего периметра. При этом, даже декларируемые (заявленные/согласованные) пользовательские устройства (например, телефоны) могут содержать в своих микропрограммах или операционных системах уязвимости, которые, в случае эксплуатации, наносят вред не только владельцу, но и могут выступать в роли средства несанкционированного доступа к служебным данным. Поэтому, в случае возникновения инцидента информационной безопасности, связанного с эксплуатацией USB-устройств,

В связи со всем перечисленным, достаточно важно не только уметь ограничивать использование устройств, но и иметь доступ к истории USB подключений в системе. Этому вопросу и будет посвящена данная статья. Сразу оговорюсь, что весь список точек создания информации о подключении тех или иных устройство чрезвычайно обширен, поэтому по теме данной статьи мы будем рассматривать лишь историю использования USB устройств.

Нумерование (энумерация) USB устройств

Поскольку я сам в данном вопросе «плаваю», перед тем как перейти к практике, предлагаю немного усилить нашу теоретическую базу и описать терминологию, которая будет использоваться на протяжении всего материала. Сразу оговорюсь, что мы не будем освещать все виды взаимодействия, выполняющиеся на шине USB на аппаратном уровне, а сосредоточимся исключительно на основных понятиях, относящихся к USB-устройствам и требующихся нам для понимания практической стороны вопроса.
Подключение любого нового оборудования сопряжено с выполнением модулями ядра системы Windows предопределенных фаз опроса и инициализации. Начинается всё с того, что при подключении устройства к разъему USB, контроллером USB (встроенным в чипсет на материнской плате) генерируется аппаратное прерывание. Драйвер USB, ответственный за обработку данного прерывания, запрашивает статус порта, и если статус указывает на подключенное устройство, то ответственными подсистемами ядра производится последовательность действий, которую условно можно разделить на две стадии:

  1. Нумерование устройства;
  2. Установка драйвера устройства;

Ядро (?) инициирует к вновь подключенному устройству серию запросов GET_DESCRIPTOR с различными типами запрашиваемых дескрипторов ( Device , Configuration , LangID , iProduct ). Запросы опрашивают устройство на предмет наличия серии дескрипторов, представляющих собой структуры данных, описывающие возможности USB устройства.

Отсюда следует вывод, что любое USB-устройство должно уметь реагировать на запросы от хоста и иные события на шине. В ответ на подобного рода запросы, микрокод устройства возвращает из ПЗУ требуемую информацию. Данные, возвращаемые устройством в ответ на запросы разнообразных дескрипторов, являются важными для операционной системы, поскольку именно часть этих данных представляет собой различного рода идентификаторы, используемые системой в дальнейшем в процессе нумерования устройства. Давайте приведем наиболее значимую информацию:

datadump.ru

Реестр usb устройства

Данная информация должна быть уничтожена, т.к. если служба безопасности обнаружит ее, то мне придется оставить работу. А как вы понимаете сегодня без этого носителя никуда 🙂

Жуть какая-то. Почему бы вам не послать демонстративно все секретные файлы через интернет и не попросить чтобы они отвязались от флешки?

Что по делу, то умелые руки найдут если захотят. Кроме устройств есть еще точки монтирования и куча подобной ерунды. Гиблое это дело.

Жуть какая-то. Почему бы вам не послать демонстративно все секретные файлы через интернет и не попросить чтобы они отвязались от флешки?

Что по делу, то умелые руки найдут если захотят. Кроме устройств есть еще точки монтирования и куча подобной ерунды. Гиблое это дело.

Дело не в том что я этой флехой секретную инфу переношу, так личную инфу туда сюда таскаю. А вот насчет умелых рук, так они сильно глубоко рыть не будут, так что сверху лежит то и посмотрят.
Вы лучше способ какой подскажите.

Добавлено 28.01.08, 15:36
А вообще есть какая нибудь связь. Например из одного ключа в другой и так по цепочке. Или какая нибудь последовательность действий винды при подключении флехи?

forum.sources.ru

Реестр usb устройства

Данная информация должна быть уничтожена, т.к. если служба безопасности обнаружит ее, то мне придется оставить работу. А как вы понимаете сегодня без этого носителя никуда 🙂

Жуть какая-то. Почему бы вам не послать демонстративно все секретные файлы через интернет и не попросить чтобы они отвязались от флешки?

Что по делу, то умелые руки найдут если захотят. Кроме устройств есть еще точки монтирования и куча подобной ерунды. Гиблое это дело.

Жуть какая-то. Почему бы вам не послать демонстративно все секретные файлы через интернет и не попросить чтобы они отвязались от флешки?

Что по делу, то умелые руки найдут если захотят. Кроме устройств есть еще точки монтирования и куча подобной ерунды. Гиблое это дело.

Дело не в том что я этой флехой секретную инфу переношу, так личную инфу туда сюда таскаю. А вот насчет умелых рук, так они сильно глубоко рыть не будут, так что сверху лежит то и посмотрят.
Вы лучше способ какой подскажите.

Добавлено 28.01.08, 15:36
А вообще есть какая нибудь связь. Например из одного ключа в другой и так по цепочке. Или какая нибудь последовательность действий винды при подключении флехи?

forum.sources.ru

Реестр usb устройства

Данная информация должна быть уничтожена, т.к. если служба безопасности обнаружит ее, то мне придется оставить работу. А как вы понимаете сегодня без этого носителя никуда 🙂

Жуть какая-то. Почему бы вам не послать демонстративно все секретные файлы через интернет и не попросить чтобы они отвязались от флешки?

Что по делу, то умелые руки найдут если захотят. Кроме устройств есть еще точки монтирования и куча подобной ерунды. Гиблое это дело.

Жуть какая-то. Почему бы вам не послать демонстративно все секретные файлы через интернет и не попросить чтобы они отвязались от флешки?

Что по делу, то умелые руки найдут если захотят. Кроме устройств есть еще точки монтирования и куча подобной ерунды. Гиблое это дело.

Дело не в том что я этой флехой секретную инфу переношу, так личную инфу туда сюда таскаю. А вот насчет умелых рук, так они сильно глубоко рыть не будут, так что сверху лежит то и посмотрят.
Вы лучше способ какой подскажите.

Добавлено 28.01.08, 15:36
А вообще есть какая нибудь связь. Например из одного ключа в другой и так по цепочке. Или какая нибудь последовательность действий винды при подключении флехи?

forum.sources.ru

Смотрите еще:

  • Реестр нет записи на флешку Как снять защиту от записи с USB флешки и карт памяти Иногда бывают случаи, что невозможно отформатировать USB-флешку или SD-карту, перенести или записать на них данные, информацию. Система Windows выдаст ошибку, флешка выдает […]
  • Как почистить реестр от usb подключений Как очистить данные о USB Флешках в реестре Windows. Комментарии и отзывы: 9 1. Илья • 19.05.2011 >>>Внимание! Эти разделы так же содержат информацию о жестких дисках, установленных на компьютере. Не удаляйте эту информацию. Вопрос: […]
  • Не получается поменять разрешение Изменение разрешения экрана на Windows Windows сама выбирает оптимальное разрешение экрана на основании: размера монитора (дисплея), видеоадаптера, установленных драйверов. Статья расскажет, как поменять разрешение экрана в Windows […]
  • Документы на развод бланк Заявление на развод. Образец заявления на о расторжении брака Заявление на развод пишется в случае расторжения брака между супругами. Куда подавать заявление на развод При решении вопроса о расторжении брака возникает вопрос: где […]
  • Ведьмак 2 изменить разрешение Ведьмак 2 изменить разрешение Q: Как установить русскую озвучку на Steam-версию? A: Скачать отсюда Part 5. Q: Как бороться с вылетами после пролога? A: Попробуйте снизить параметр "Размер памяти текстур" до высокого или среднего […]
  • Программа по очистке и оптимизации реестра Лучшие программы для очистки компьютера Как пользователь компьютера, вы скорее всего столкнетесь с тем (или уже столкнулись), что вам потребуется его очистка от различного рода мусора — временных файлов, «хвостов», оставленных […]
  • Обновления времени реестр Синхронизация времени через интернет на компьютере в Windows 7, 8 Часы Windows, расположены в правом нижнем углу экрана на панели задач рядом с кнопкой «свернуть все окна», языковой панелью, другими элементами и открываются по […]
  • Настройка разрешения на ноутбуке Настройка экрана ноутбука Правильно настроенный экран монитора – залог успешной и продуктивной работы с ноутбуком. Оптимальная настройка монитора начинается с регулировки элементарных составляющих. Настройка частоты обновления […]