Раскодировка времени подключения накопителей

SENSORED

Новый пользователь
Сообщения
8
Реакции
11
Всем хорошего дня! Уважаемые знатоки:King:, подскажите пожалуйста где в реестре хранится информация о подключенных usb-устройствах (накопители, сотовые телефоны и т.д.), конкретно интересует информация позволяющая идентифицировать время последнего подключения.
Заранее благодарен всем отписавшимся!):Thank You:
 
При подключение создаются подразделы здесь
Код:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
но глянул там даты нет, можно ещё посмотреть, кажись утилиты Русиновича умеют извлекать дату редактирования ключа реестра даже если она явно не указана.
И возможно вам будут полезны ключи в подразделе
INI:
HKEY_CURRENT_USER\Software\SafelyRemove\Drives\USB*VID_*********************
В частности параметр InternalVendorName.
И возможно интересная эта статья Средства сбора данных в компьютерно-технической экспертизе.
PS. про ключи написал по памяти.
 
Последнее редактирование:
Есть программы позволяющие просмотреть историю подключений (например "usbdeview"), где можно посмотреть дату подключения (опять же думаю информация извлекается из реестра), однако зачастую история подчищается, а следы в реестре остаются. В связи с этим и назрел насущный для меня вопрос)
 
Есть программы позволяющие просмотреть историю подключений (например "usbdeview"), где можно посмотреть дату подключения (опять же думаю информация извлекается из реестра),
Глянул эту прогу, в основном она инфу тянет как раз из упомянутого мной
HKEY_CURRENT_USER\Software\SafelyRemove\Drives\USB*VID_*********************
Конечно же смотрит и другие разделы, к примеру
Код:
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\
HKLM\System\CurrentControlSet\Control\DeviceClasses\
HKLM\System\CurrentControlSet\Enum\USB
HKLM\System\CurrentControlSet\Services\USBSTOR
HKLM\System\CurrentControlSet\Services\HidUsb
и т.д.
Да, инфу она целиком берёт из реестра.
 
Есть программы позволяющие просмотреть историю подключений (например "usbdeview"), где можно посмотреть дату подключения (опять же думаю информация извлекается из реестра), однако зачастую история подчищается, а следы в реестре остаются. В связи с этим и назрел насущный для меня вопрос)

Вот в этом блоге появилась свежая запись как раз касаемо Вашего вопроса.
 
SENSORED, наберите в яндексе или гугле поисковый запрос: forensic + usb device
и получите уйму полезной информации и готовых инструментов по Вашей теме.

Если понадобится инфа и о других следах, посмотрите RegRipper от Harlan Carvey, от него же много статей. К этой программе есть куча сторонних плагинов. Всё - open source (python).
На вход этой программе нужны сырые hiv-слепки реестра. Можно сделать, например, через ERUNT.

По поводу даты модификации ключа реестра, можно извлечь тем же родным редактором реестра. Учтите, что дату ключа получить можно, а параметра - нет. Такая инфа не сохраняется.
 
Перелопатил огромное количество информации, программ (оно того стоило), вопрос можно считать закрытым. Спасибо всем отписавшимся!!!
 
Напишите тогда, что больше всего понравилось. :)
 
EnCase, RigRipper, чуть менее интересный (для меня) OSForensics. Функционал просто огромнейший!!! Ждал готовых решений когда обращался на форум - "ткну там, нажал сюда и т.п.", вышло все не так просто, но намного полезнее и продуктивнее. Глубина "кроличьей норы" (реестра), для меня как непросвещенного, сравнима с марианской впадиной)
 
Назад
Сверху Снизу