В данной статье мы рассмотрим способы, которые позволяют узнать информацию о том, когда и какие USB устройства подключались к компьютеру под управлением операционной системы Windows.
Содержание
История USB подключений
Существуют несколько способов: ручной — это когда самому надо копаться в реестре Windows и с использованием специальных программ. Поверхностно расскажем про реестр и более подробно поговорим о программах, так как это на наш взгляд самый лёгкий и удобный способ вытащить историю использования USB девайсов.
История USB подключений вручную
Все данные о подключениях USB хранятся в реестре Windows в этих ветках:
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR
HKLM\SYSTEM\CurrentControlSet\Enum\USB
HKLM\SYSTEM\MountedDevices
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
Если опыта нет, туда лучше не соваться. А если решитесь, то хотя бы делайте бекап или снимок реестра.
История USB подключений программами
Идеальным способом является использование специальных программ. Представим две программы, у каждой есть свои достоинства.
История USB подключений программой USBDeview
USBDeview — это маленькая, бесплатная программа для просмотра и анализа истории подключения USB- устройств, таких как флешка, внешний жесткий диск, смартфон, планшет, USB мышка, клавиатура и так далее.
Скачать USBDeview бесплатно вы можете по этой прямой ссылке английскую версию.
Автор программы известный Израильский программист Нир Софер, который написал большое количество бесплатных, полезных приложений.
Использование USBDeview
После того как скачали, разархивируйте и запустите файл «USBDeview.exe». Версия портабельная, т.е не требует установки, и после запуска мгновенно запустится.
Выполнив сканирование компьютера USBDeview отобразит список всех ранее подключенных USB-устройств.
Вот какую информацию может показать программа:
- Имя устройства
- Описание
- Первое подключение
- Последнее подключение
- Буква диска
- Серийный номер
- Производитель устройства
- Версия USB
- И т.д.
Есть ещё куча другой информации, но большинству для того чтобы отследить кто и когда подключал к компьютеру флешку наверное хватит даты подключения, названия и описания USB-устройства.
Кроме этого, программа может отключить, включить, удалить а также запретить USB-устройства. Если вы собираетесь проделывать какую-нибудь из этих вышеперечисленных операций, то настоятельно рекомендуем сделать предварительно бекап или точку восстановления системы. Если же вы желаете просто просмотреть историю подключений, то делать бекап не требуется.
Кроме этого программа умеет работать из командной строки. Т.е. используя специальные команды можно получить всю информацию удаленно. Подробнее о командах вы можете узнать на сайте разработчика.
Ну, и конечно все полученные данные можно сохранить в виде отчета во всевозможные форматы от *.txt до *.html.
История USB программой USB History Viewer
Следующая программа с которой я хочу вас познакомить — это USB History Viewer. Утилита отображает информацию только о подключенных флешках и внешних жестких дисках.
Скачать USB History Viewer бесплатно вы можете по этой ссылке только английскую версию.
Использование USB History Viewer
Запускаем программу и видим три поля.
- Computer name — Имя компьютера
- Authentication — Авторизация
- Get USB History — Список флешек
В первом поле выбираем компьютер. Во втором поле прописываем данные авторизации и нажимаем Start. Если необходимо вытащить информацию по текущему компьютеру и пользователю, то нечего не меняем, оставляем все поля как есть.
Данная программа тестерам канала National Network Security (N.N.S.) нравится меньше, хотя имеет свои плюсы. Главным достоинством является умение вытаскивать историю использования флешек удаленно в локальной сети, но это требует логина и пароля удаленной машины.
На самом деле есть ещё программа Internet Evidence Finder, но из-за её фантастически высокой цены рассказывать про неё не будем. Мощная утилита, но стоит 999$. Если вы профи Форензики, то вперёд, но большинству хватит и этих инструментов.
На этом всё. В целом это очень нужные программы, которыми надо уметь пользоваться, иметь у себя в архиве программ, ну или хотя бы как минимум знать об их существовании.
