Решена Раскодировка времени подключения накопителей

SENSORED

Новый пользователь
Сообщения
8
Реакции
11
Баллы
13
Всем хорошего дня! Уважаемые знатоки:King:, подскажите пожалуйста где в реестре хранится информация о подключенных usb-устройствах (накопители, сотовые телефоны и т.д.), конкретно интересует информация позволяющая идентифицировать время последнего подключения.
Заранее благодарен всем отписавшимся!):Thank You:
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
При подключение создаются подразделы здесь
Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
но глянул там даты нет, можно ещё посмотреть, кажись утилиты Русиновича умеют извлекать дату редактирования ключа реестра даже если она явно не указана.
И возможно вам будут полезны ключи в подразделе
INI:
HKEY_CURRENT_USER\Software\SafelyRemove\Drives\USB*VID_*********************
В частности параметр InternalVendorName.
И возможно интересная эта статья Средства сбора данных в компьютерно-технической экспертизе.
PS. про ключи написал по памяти.
 
Последнее редактирование:

SENSORED

Новый пользователь
Сообщения
8
Реакции
11
Баллы
13
Есть программы позволяющие просмотреть историю подключений (например "usbdeview"), где можно посмотреть дату подключения (опять же думаю информация извлекается из реестра), однако зачастую история подчищается, а следы в реестре остаются. В связи с этим и назрел насущный для меня вопрос)
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
Есть программы позволяющие просмотреть историю подключений (например "usbdeview"), где можно посмотреть дату подключения (опять же думаю информация извлекается из реестра),
Глянул эту прогу, в основном она инфу тянет как раз из упомянутого мной
HKEY_CURRENT_USER\Software\SafelyRemove\Drives\USB*VID_*********************
Конечно же смотрит и другие разделы, к примеру
Код:
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\
HKLM\System\CurrentControlSet\Control\DeviceClasses\
HKLM\System\CurrentControlSet\Enum\USB
HKLM\System\CurrentControlSet\Services\USBSTOR
HKLM\System\CurrentControlSet\Services\HidUsb
и т.д.
Да, инфу она целиком берёт из реестра.
 

NickM

Активный пользователь
Сообщения
96
Реакции
57
Баллы
58
Есть программы позволяющие просмотреть историю подключений (например "usbdeview"), где можно посмотреть дату подключения (опять же думаю информация извлекается из реестра), однако зачастую история подчищается, а следы в реестре остаются. В связи с этим и назрел насущный для меня вопрос)
Вот в этом блоге появилась свежая запись как раз касаемо Вашего вопроса.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,906
Баллы
648
SENSORED, наберите в яндексе или гугле поисковый запрос: forensic + usb device
и получите уйму полезной информации и готовых инструментов по Вашей теме.

Если понадобится инфа и о других следах, посмотрите RegRipper от Harlan Carvey, от него же много статей. К этой программе есть куча сторонних плагинов. Всё - open source (python).
На вход этой программе нужны сырые hiv-слепки реестра. Можно сделать, например, через ERUNT.

По поводу даты модификации ключа реестра, можно извлечь тем же родным редактором реестра. Учтите, что дату ключа получить можно, а параметра - нет. Такая инфа не сохраняется.
 

SENSORED

Новый пользователь
Сообщения
8
Реакции
11
Баллы
13
Перелопатил огромное количество информации, программ (оно того стоило), вопрос можно считать закрытым. Спасибо всем отписавшимся!!!
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,906
Баллы
648
Напишите тогда, что больше всего понравилось. :)
 

SENSORED

Новый пользователь
Сообщения
8
Реакции
11
Баллы
13
EnCase, RigRipper, чуть менее интересный (для меня) OSForensics. Функционал просто огромнейший!!! Ждал готовых решений когда обращался на форум - "ткну там, нажал сюда и т.п.", вышло все не так просто, но намного полезнее и продуктивнее. Глубина "кроличьей норы" (реестра), для меня как непросвещенного, сравнима с марианской впадиной)
 
Сверху Снизу