Как посмотреть историю подключения флешек
Как посмотреть историю USB подключений к стационарному компьютеру/ноутбуку?
Как определить, что у компьютера есть еще и «другая жизнь», о которой владелец не знает?
Любое устройство, подключаемое к системе – оставляет свои следы в реестре и лог файлах.
Существует несколько способов определить — какие USB-Flash-накопители подключались к устройству:
1) С использованием специальных программ
Если нужно знать, что именно копировалось с/на компьютер – используем этот способ. При условии соблюдения политик безопасности и с помощью специального софта можно не только отследить, что в компьютер вставлялся USB flash диск, но и логгировать имена файлов, которые копировались с/на диск, и содержимое этих копируемых файлов.
С помощью специальных программ можно проконтролировать доступ не только к USB flash-дискам, но и ко всему спектру съемных устройств, принтеров и сканеров.
Специализированного софта по данной теме можно перечислить много, например – SecureWave Sanctuary Device Control / Lumension Device Control, DeviceLock, GFi EndPointSecurity, InfoWatch Device Monitor и т.п. Выбор конкретного софта зависит от конкретных условий применения.
2) Ручной – самостоятельно просматриваем реестр
Все данные о подключениях USB хранятся в реестре в этих ветках:
В первой (USBSTOR) отображаются устройства-носители (как правило флеш-накопители), во- второй (USB) – телефоны, камеры, мышки и т.д.
Рис.1 – Редактор реестра. Информация о флеш-накопителях
Для того, чтобы узнать дату и время подключения можно экспортировав нужный раздел в файл с расширением txt.
Рис.2 – Редактор реестра. Экспорт USBTOR
Рис.3 – Редактор реестра. Результат экспорта
Так же можно экспортировать раздел USBSTOR в файл с расширением txt.
Рис.4 – Редактор реестра. Экспорт USB
Затем запускаем поиск устройств MTP (латинскими).
Рис.5 – Редактор реестра. Экспорт USB
Находим дату и время подключения мобильного телефона (в данном примере) к USB компьютера. Так же по поиску устройств MTP могут находиться фотоаппараты и планшеты.
Те, кто хоть как-то связан с кибербезопасностью, наверняка не раз слышали поучительную истории о флешках, разбросанных по парковкам. Это был обычный эксперимент, проведенный в студенческом кампусе Университета штата Иллинойс, с несколькими сотнями утерянных флешек, на которых был записан безобидный скрипт, сообщающий о подключении USB-накопителя к компьютеру. Итог – 45% утерянных флешек были подключены в течении 10 часов после начала эксперимента.
Еще одно событие, произошедшее в прошлом году. В изолированную сеть атомной электростанции попало вредоносное ПО. Причина – сотрудник, для решения задач предприятия, использовал USB со скачанным для семейного просмотра фильмом.
Помните, что даже личные накопители сотрудников (флешки, карты памяти) способны нанести компании урон не меньший, чем внешняя атака.
Как посмотреть историю подключения флешек
Как удалить данные о USB Флешках в реестре Windows
Добрый день уважаемые читатели блога pyatilistnik.org, сегодня хочу рассказать как удалить данные о USB Флешках в реестре Windows. Эта статья является продолжением статьи Как узнать какие usb накопители подключались к компьютеру. Вся информация о любых USB носителях, когда-либо подключаемых к компьютеру, хранится в системном реестре. Если к компьютеру подключается много флешек разных моделей и производителей, то со временем в реестре скапливается очень много мусора. В результате процесс определения и подключения нового устройства начинает занимать значительное время и тормозит систему.
Выход один. Нужно периодически чистить разделы реестра, который хранят данные о подключаемых флешках и других USB накопителях. Очистка этих разделов позволит ускорить подключение новых USB устройств и работу системы в целом.
Как удалить данные о USB Флешках в реестре Windows-01
Как удалить данные о USB Флешках в реестре Windows-02
Из скринов видно, что подключались так же и хабы и HDD через хаб
Как удалить данные о USB Флешках в реестре Windows-03
Как удалить данные о USB Флешках в реестре Windows-04
Ставим галку Произвести реальную очистку
Как удалить данные о USB Флешках в реестре Windows-05
Видим, что все завершено и было удалено много записей из реестра. Проверим реестр. Обратите внимание что папку USBSTOR нету.
Как удалить данные о USB Флешках в реестре Windows-06
Ну и на по следок посмотрим программой USBDeview, тоже все чисто.
Как удалить данные о USB Флешках в реестре Windows-07
Вот уважаемые читатели где хранится данные о ваших флешках, так что если, что то нужно удалить то начинайте.
Популярные Похожие записи:
43 Responses to Как удалить данные о USB Флешках в реестре Windows
удаляешь, если лишнего системе капец!
Спасибо, что доступным языком рассказали как производится удаление usb устройств из реестра
Хоть кто то, рассказал доступным языком как удалить данные из реестра
Подскажите что сделать. Не удается удалить раздел, ошибка при удалении
Спасибо, все получилось с первого раза.
Хорошая статья, спасибо, как говориться оставляем меньше следов.
возможно восстановление данных о USB, если их удалили из реестра?
да, Windows всегда делает резервную копию реестра. Каждый день.
а почему ветку ‘USB’ — не открыл? — так как раз все и осталось(по крайней мере у меня)
Спасибо огромное. Вы золото
Почистил реестр windows в ручную но проверяющий с какой-то программой все равно определил какие флешки я подключал к компьютеру. Не знаете ли вы что это за программа?
Все подобные утилиты оставляют следы. Лучше всего использовать утилиту usbdeview для просмотра подключаемых носителей, потом ищем в реестре серийные номера, которые видно в usbdeview и удалям их… Если вы делаете это в Win7, то потребуется утилита PSTools (как пользоваться курите google), которая даёт права на удаление некоторых веток
Помимо реестра система записывает информацию о подключениях в журналы, а также ряд системных файлов.
ControlSet001 и ControlSet002 трогать не обязательно это резервные копии CurrentControlSet
Все да не все. А про лог-файлы забыли или забили?
Что именно вы имеете ввиду, о каких именно лог-файлах идет речь?
Вы бы лучше написали пост о том,как после таких «зачисток» вернуть ошибочно удалённую иконку usb устройства. Перерыл весь инет но данных нет как сделать чтобы в проводнике восстановить.
А скриншотик можете сделать?
После этой очистки комп не видел флешку
В диспетчере устройств есть какое-то оборудование с ошибками?
После чистки комп не видит флешку! Что делать?
В устройствах у вас она определяется в диспетчере устройств?
Да но флешку пишет не возможно запустить(
Как удалить не нужную инфо. о не желательных флешка когда проверяющий установил на моём компе админ.?
Заранее спасибо!
А права администратора локального у вас есть?
Все) Флешки вообще теперь не определяются)) Ни одна ) Windows 10×64
Попадалово на откат теперь )
Так как торопился — действительно пришлось откатиться. Из 6 флешек разных (не определялась ни одна). Но мы ж не остановимся… )))
Создал точку отката.
*Если чистить в ручную не хотите, то есть и бесплатное ПО, например USB Oblivion. Запускаем утилиту* — так и сделал (снова).
Перезагрузился — часть флешек видит как «запоминающее устройство для USB». При этом быстрое извлечение через трей есть — а в проводнике нет.
Огромное спасибо, все получилось.
Лучше бы объяснили как в ручную удалить, без доп софта, который отслеживается на раз два. Это возможно?
В ручную можно, но для этого придется обойти приличное количество веток реестра, или написать скрипт, более быстрых методов встроенных в Windows просто нет
Ну так ждём! Будет очень хороший скрипт. Многие люди будут рады, в том числе и я.
Мне наплевать на факт того, что кто-то увидит, какие именно флешки я вставлял в свой комп.
Но гораздо более важный вопрос для меня лично — остаются ли в компе какие-либо сведения о файлах, которые были на этих флешках? Пусть не содержимое, но для меня критичным могут быть даже их имена.
USBOblivion чистит не полностью…
Ghostbuster — увидел то, что не увидел USBOblivion… например ТЕЛЕФОН
Спасибо попробую Ghostbuster
Есть программа «паук» так вот после описанных манипуляций, паук все равно находит следы подключений. Может кто знает где еще хранятся данные о подключниях.
Можно посмотреть ключевые слова в пауке и поискать их в реестре Windows
Блог творческого ИТ-практика. Возьми свою мысль и дай ей ускорение идеи. В моем фокусе: сети, безопасность, виртуализация, web, мультимедиа.
А А Wednesday, 11 September 2013
Поиск сведений про USB-накопители в Windows ХР/7
Будем исходить из того что наиболее важные артефакты для специалиста это:
· тип сьемного накопителя, его серийный номер;
· дата и время его установки и изьятия из компьютера;
· буква диска под которой фигурировал накопитель в ОС;
· аккаунт пользователя системы под каким фигурировал накопитель в ОС.
Вначале перескажу метод поиска, который был опубликован компанией Red Line Software для Windows 7.
Извлечение USB артефактов вручную.
А теперь повторим тоже самое для Windоws XP.
Различий с 7-й почти нет, но все же пройдемся еще раз.
1. Смотрим ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX\Enum\USBSTOR
Здесь находятся все устройства-носители, подключаемые к USB
В ключах находящихся в данной ветви есть параметры:
— FriendlyName (Например, он равен «Kingston DataTraveler 2.0 USB Device»)
— ParentIdPrefix (Например, он равен 7&cb3a0ee&0).
Открываем первый и находим там подключ, начинающийся с нужного нам идентификатора класса устройства (пример): «##?#USBSTOR#Disk&Ven_Kingston&Prod_DataTraveler_2.0&Rev_1.04#0BF19451711018DA&0. « Видим, кстати, тут уникальный идентификатор устройства.
Дата последнего изменения данного подключа и будет датой последнего подключения устройства.
Открываем второй и находим там нужный нам ParentIdPrefix устройства: «##?#STORAGE#RemovableMedia#7&cb3a0ee&0&RM. »
Дата последнего изменения данного подключа и будет датой последнего подключения тома.
К сожалению для автоматизации поиска с помощью VBscript ничего путнего придумать не удалось. Не претендуя на абсолютную истину, но в ХР я нашел только три класса Win32_USBControllerDevice, Win32_USBController и Win32_USBHub, которые дают не так много информации. А про временным параметрам вообще пусто.
Set objWMIService = GetObject(«winmgmts:\\» & strComputer & «\root\CIMV2») Set colItems = objWMIService.ExecQuery(«SELECT * FROM Win32_USBControllerDevice», «WQL», _ wbemFlagReturnImmediately + wbemFlagForwardOnly) Set colItems = objWMIService.ExecQuery(«Select * from Win32_USBController»,,48) Set colItems = objWMIService.ExecQuery(«Select * from Win32_USBHub»,,48)
Поэтому мне больше нравится USBDeview. USBDeview представляет собой инструмент с графическим пользовательским интерфейсом, позволяющий извлекать, коррелировать и отображать всю информацию, ручное извлечение которой обсуждалось выше.
Если на вашей фирме использование USB устройств не запрещено полностью, то рано или поздно вы столкнетесь с ситуацией, в которой проблемы с безопасностью могут быть связаны с портативным USB накопителем. В этой ситуации приведенная информация поможет вам найти нужные решения, чтобы оперативно отреагировать на инцидент.
История использования USB
Ни для кого уже не секрет, что информация о разного рода активности многочисленных компонентов операционной системы попадает в реестр и файлы в виде записей заданного формата. При этом, информация эта нередко содержит чувствительные пользовательские данные: историю посещенных браузером страниц, кеш данных программ, информацию о подключаемых устройствах и многое многое другое. Во основном журналирование обеспечивается функциональными особенностями пользовательских программ, которые имеют встроенные алгоритмы сохранения истории операций, отчасти это возможно благодаря архитектурным особенностям ядра/HAL операционной системы, которые, производя конфигурирационные действия с устройствами, сохраняют информацию о последних в виде записей в системном реестре. Из всего многообразия подобной информации, в рамках данной статьи нас будет интересовать исключительно история использования USB устройств.
Система создает артефакты в момент обнаружения (инициализации) устройства (сменных накопителей, модемов, гаджетов, камер, медиаплееров и прч.) на шине компьютера. Дополнительным плюсом данного материала будет возможность сбора доказательной базы по факту неправомерного использования рабочей станции пользователя в корпоративной среде при помощи незадекларированных USB-устройств.
Не так давно в нашу жизнь вошел интерфейс USB, привнеся в неё довольно существенные изменения. Неожиданно многие вещи стали проще, отпала необходимость инсталляции устройства во внутренний интерфейсный разъем (шина), или внешний интерфейс, требующий перезагрузки станции для корректной инициализации устройства, да и сам процесс конфигурирования устройств стал, во множестве случаев, тривиальнее. На интерфейсе USB появились тысячи разнообразных по назначению устройств, которые достаточно было подключить к разъему на панели корпуса, после чего от момента подключения до состояния «готов к работе», порой проходили считанные минуты. Наряду с очевидными достоинствами: легкостью конфигурирования/использования, компактностью, функциональностью, подобные устройства сразу стали источником проблем как для безопасности персональных данных самого пользователя, так и безопасности корпоративных сред. Компактный, легко маскируемый «брелок» с интерфейсом USB может запросто явиться той ахиллесовой пятой, которая станет причиной «падения» гиганта корпоративной безопасности. Если порты USB в корпоративных рабочих станциях находятся без надлежащего контроля со стороны политик безопасности, то любое приспособление может запросто выступить в качестве средства для обхода периметра безопасности компании. И тут уж насколько хватит фантазии «взломщика», например, достаточно пронести на флешке свежий, не определяемый антивирусами вредоносный код и выполнить его (умышленно или нет), и вот вам уже прецедент, поскольку даже без локальных административных привилегий учетной записи пользователя сохраняется пространство для маневра. Не меньшую опасность представляют и USB-модемы, которые, в случае установки (а при использовании локальных/доменных политик по умолчанию это достигается достаточно просто), могут выступить в роли неконтролируемого канала передачи данных, по которому может осуществляться передача чувствительной корпоративной информации за пределы защищенного внутреннего периметра. При этом, даже декларируемые (заявленные/согласованные) пользовательские устройства (например, телефоны) могут содержать в своих микропрограммах или операционных системах уязвимости, которые, в случае эксплуатации, наносят вред не только владельцу, но и могут выступать в роли средства несанкционированного доступа к служебным данным. Поэтому, в случае возникновения инцидента информационной безопасности, связанного с эксплуатацией USB-устройств,
В связи со всем перечисленным, достаточно важно не только уметь ограничивать использование устройств, но и иметь доступ к истории USB подключений в системе. Этому вопросу и будет посвящена данная статья. Сразу оговорюсь, что весь список точек создания информации о подключении тех или иных устройство чрезвычайно обширен, поэтому по теме данной статьи мы будем рассматривать лишь историю использования USB устройств.
Перечисление (энумерация) USB устройств
Поскольку я сам в данном вопросе «плаваю», перед тем как перейти к практике, предлагаю немного усилить нашу теоретическую базу и описать терминологию, которая будет использоваться на протяжении всего материала. Сразу оговорюсь, что мы не будем освещать все виды взаимодействия, выполняющиеся на шине USB на аппаратном уровне, а сосредоточимся исключительно на основных понятиях, относящихся к USB-устройствам и требующихся нам для понимания практической стороны вопроса.
Подключение любого нового оборудования сопряжено с выполнением модулями ядра системы Windows предопределенных фаз опроса и инициализации. Начинается всё с того, что при подключении устройства к разъему USB, контроллером USB (встроенным в чипсет на материнской плате) генерируется аппаратное прерывание. Драйвер USB, ответственный за обработку данного прерывания, запрашивает статус порта, и если статус указывает на подключенное устройство, то ответственными подсистемами ядра производится последовательность действий, которую условно можно разделить на две стадии:
Отсюда следует вывод, что любое USB-устройство должно уметь реагировать на запросы от хоста и иные события на шине. В ответ на подобного рода запросы, микрокод устройства возвращает из ПЗУ требуемую информацию. Данные, возвращаемые устройством в ответ на запросы разнообразных дескрипторов, являются важными для операционной системы, поскольку именно часть этих данных представляет собой различного рода идентификаторы, используемые системой в дальнейшем в процессе нумерования устройства. Давайте приведем наиболее значимую информацию:
| Название поля | Терминология Windows | Размер (байт) | Комментарий |
|---|---|---|---|
| idVendor | VID | 2 | Идентификатор производителя устройства. При присвоении идентификатора производителя, соответствующее числовое значение вносится в реестр производителей. |
| idProduct | PID | 2 | Идентификатор продукта. Назначается производителем устройства. Product ID используется для дифференциации продуктов в рамках одного производителя. |
| bcdDevice | REV | 2 | Идентификатор ревизии. Используется для дифференциации разных аппаратных модификаций в рамках одной модели устройства. Может использоваться при выпуске новой версии платы/контроллера/логики. |
| bDeviceClass, bFunctionClass, bInterfaceClass | Class | 1 | Класс устройства. Используется для задания класса схожих устройств с общим набором идентичных свойств. |
| bDeviceSubclass, bFunctionSubClass, bInterfaceSubclass | SubClass (SUB) | 1 | Подкласс устройства. Используется для задания подкласса схожих устройств в рамках класса. |
| bDeviceProtocol, bFunctionProtocol, bInterfaceProtocol | Protocol (Prot, PROTO) | 1 | Протокол устройства. Используется для задания протокола для устройств в рамках класса и подкласса. |
| iProduct | Product | ? | Текстовая строка-описатель продукта. Когда устройство подключено к компьютеру, данная информация отображается в Диспетчере устройств. |
| iSerialNumber | Serial | ? | Серийный номер. Используется для уникализации абсолютно одинаковых устройств, например две одинаковых флешки. Назначается и поддерживается производителем устройства. Связанный механизм носит имя Сериализация. Сериализация так же участвует в уникальной идентификации устройства, поскольку добавляет еще один уровень уникальности. |
Более того, использование пары VID / PID в дескрипторе любого USB-устройства предписывается спецификацией, согласно которой данные параметры должны быть уникальны для каждой модели устройства. Ну это, опять же, все в теории, а на практике пару раз встречались экземпляры устройств, при работе с которыми становилось очевидно, что значения VID/PID взяты произвольно, либо взяты свободные значения (!) из реестра производителей. Понятно кому выгодно подобным заниматься 🙂 Ну это скорее редко встречающаяся ситуация, когда производителю хочется сэкономить на внесении в реестр производителей.
Затем, после того, как у устройства запрошены ключевые параметры, для USB устройства создан уникальный идентификатор HardwareID ( CompatibleID ), однозначно идентифицирующий устройство/класс устройства. Драйвер USB-концентратора уведомляет специализированный модуль ядра под названием Диспетчер Plug-n-Play (PnP Manager) о новом устройстве. Диспетчер PnP получает идентификаторы HardwareID и CompatibleID устройства и пытается обнаружить устройства с аналогичными идентификаторами HardwareID/CompatibleID. В этот момент в системе создается узел устройства (devnode), что является, по сути, первым отпечатком USB устройства в системе. Если похожее устройство найдено, то производится установка соответствующих драйверов в автоматическом режиме, если же не найдено, то Диспетчер PnP получается уведомление о новом устройстве и далее действует по определенным правилам, описание которых выходит за рамки данного материала.
Эксперимент
В Сети много противоречивой информации относительно истории подключения USB, поэтому давайте проведем собственный эксперимент по выявлению всех возможных системных местоположений, формирующих историю USB подключений. С целью выявления следов подключения USB стоит отследить абсолютно все изменения, происходящие в системе в момент подключения USB устройства. С этой целью на просторах Сети была найдена замечательная утилита под названием SysTracer, которая обладает всем необходимым функционалом. Утилита настолько проста и функциональна, что во многих случаях она окажется незаменимым средством в руках специалиста, поскольку предоставляет возможность сделать КРАЙНЕ полезное действие: создать мгновенный снимок (snapshot) состояния ключевых компонентов системы, таких как реестр и файлы. В качестве системы я использовал чистую инсталляцию Windows 7 Professional, при этом главным требованием было отсутствие каких-либо подключений внешних носителей. Итак, делаем снимок чистой системы, затем вставляем тестовую USB-флешку SanDisk Cruzer mini 1.0Gb и через некоторое время делаем второй снимок. Встроенными средствами утилиты SysTracer сравниваем полученные образы с выводом отчета. В итоге у нас получился некий набор системных изменений, среди которых мы попытаемся выбрать именно те, которые могут относиться к следам подключения USB устройств. Выбранный мною метод имеет и свои недостатки, поскольку наблюдения за активностью системы применительно к USB устройствам не проводилось «в динамике», то есть мы не работали с открытыми с подключаемого носителя файлами (.docx/.xlsx) в различных пользовательских приложениях, а это могло привести к тому, что мы можем упустить факты попадания частей информации с USB-носителя в файлы подкачки, различные временные файлы кеша и файлы иного назначения. Поэтому материал, скорее всего, потребует последующей доработки.
История в файлах
После изучения изменений файловой части системных изменений, подтвердился факт того, что в операционной системе Windows 7 все действия над устройствами отражаются в следующих журнальных файлах: