作為**單位，每回的**檢查USB檢查是重點(diǎn) ， 但是現(xiàn)在網(wǎng)上到處都是清除工具，而專業(yè)的檢查工具又貴還不一定好用，為給各位檢查人員提供點(diǎn)好用的工具 。今天給大家貢獻(xiàn)一下本人的觀點(diǎn) 。下一步做一個(gè)專業(yè)工具放出來共享 。本文只代表個(gè)人觀點(diǎn)，有意見的可以隨時(shí)拍我 。
USB是一種外部總線標(biāo)準(zhǔn),, 用于電腦與外部設(shè)備的連接和通訊 。典型的USB設(shè)備主要包括U盤、移動(dòng)硬盤、數(shù)碼相機(jī)、掃描儀、圖像設(shè)備、打印機(jī)、鍵盤和鼠標(biāo)等 。
目前大家都是利用工具抽取出的USB設(shè)備信息, 主要包含有設(shè)備名稱、設(shè)備類型、設(shè)備序列號(hào)、首次掛載時(shí)間及最近一次掛載時(shí)間等 。此工具完全依賴注冊(cè)表進(jìn)行信息收集, 在相冊(cè)表項(xiàng)被刪除(如即自帶“ 清除痕跡” 功能)的情況下就什么都找不到了 。其實(shí)操作系統(tǒng)整體環(huán)境分析USB設(shè)備使用痕跡還是有很多手段的
環(huán)境下調(diào)查USB使用痕跡
1.1 基于注冊(cè)表調(diào)查USB設(shè)備使用痕跡
注冊(cè)表是USB設(shè)備使用痕跡最主要且最重要的來源 。
HKEY_LOCAL_MACHINESYSTEMControlSetXXX(CurrentControSetXXX)EnumUSBHKEY_LOCAL_MACHINESYSTEMControlSetXXX(CurrentControSetXXX)EnumUSBSTORHKEY_LOCAL_MACHINESYSTEMControlSetXXX(CurrentControSetXXX)ControlDeviceClasses{53f56307-b6bf-11d0-94f2-00a0c91efb8b}HKEY_LOCAL_MACHINESYSTEMControlSetXXX(CurrentControSetXXX)ControlDeviceClasses{a5dcbf10-6530-11d2-901f-00c04fb951ed}
其中和表示的是注冊(cè)表中的類似于 、、 這樣的子鍵（ 子鍵一般只有一個(gè)如何獲取當(dāng)前日期系統(tǒng)c，特殊情況下可能有等多個(gè)，同樣的一般只有和這兩個(gè) ， 特殊情況下可能會(huì)有多個(gè)），保存的是系統(tǒng)的當(dāng)前的一些配置信息，而等則是對(duì)當(dāng)前配置信息的備份，一般注冊(cè)表都會(huì)有兩個(gè)以上的備份，有的時(shí)候可能會(huì)有更多 。在中的信息和中的信息一般都是一樣的 ， 所以在檢測(cè)和刪除 USB 存儲(chǔ)設(shè)備信息時(shí) ， 不僅要檢測(cè)子鍵如何獲取當(dāng)前日期系統(tǒng)c，也要檢測(cè)子鍵 。Enum下的USB表鍵使用VID_v(4)& PID_d(4)格式描述USB設(shè)備 。其中, v(4)代表4個(gè)數(shù)字的銷售商代碼(由 USB協(xié)會(huì)分配給各銷售商); d(4)代表4個(gè)數(shù)字的產(chǎn)品代碼(由銷售商分配給其生產(chǎn)的產(chǎn)品) 。
表鍵則使用Disk& & & Rev_r(4)格式進(jìn)行描述 。表示制造廠商, 表示設(shè)備類型, r(4)則為修正碼 。工具即基于表鍵進(jìn)行信息抽取, 因此獲取到的序列號(hào)通常情況下并不完全準(zhǔn)確 。值得一提的是, 如USB設(shè)備中未包含有序列號(hào)信息, 則會(huì)通過系統(tǒng)自動(dòng)生成的字符串標(biāo)識(shí)該設(shè)備 。USB表鍵和表鍵均未包含掛載的時(shí)間信息, 實(shí)際上此處時(shí)間信息是以屬性形式進(jìn)行存儲(chǔ)的 。選擇以序列號(hào)為名稱的子鍵, 單擊右鍵選擇“ 導(dǎo)出” , 并將“ 保存類型” 選為“ 文本文件” , 打開保存后的文本文件即可獲得時(shí)間信息 。還需要指出的是, 表鍵下有一名為鍵值, 該鍵值數(shù)據(jù)通過關(guān)聯(lián)表鍵可以指示出USB設(shè)備的盤符信息 。表鍵下的信息只會(huì)存儲(chǔ)最近一次掛載的鍵值信息, 無法追溯盤符分配的歷史記錄 。7注冊(cè)表中則不再含有鍵值, 而是通過設(shè)備序列號(hào)與表鍵關(guān)聯(lián), 以確定盤符 。
7、10中最新設(shè)置的UMB表鍵為追蹤USB設(shè)備提供了更大的便利[2] 。該表項(xiàng)涵蓋了USB和表鍵的重要信息, 同時(shí)指示出USB設(shè)備被分配的盤符, 彌補(bǔ)了表鍵的不足 。對(duì)于來說，該子鍵下存儲(chǔ)的是以 GUID 分類的設(shè)備信息，其中有幾個(gè)是和 USB 設(shè)備有關(guān)的（它們?cè)谖④浀?USB 和存儲(chǔ)設(shè)備輸入輸出控制頭文件 .H 和.H 中定義，有興趣自己到MSDN上去看）：
{A5DCBF10-6530-11D2-901F-00C04FB951ED} GUID_DEVINTERFACE_USB_DEVICE{3ABF6F2D-71C4-462A-8A92-1E6861E6AF27} GUID_DEVINTERFACE_USB_HOST_CONTROLLER{F18A0E88-C30C-11D0-8815-00A0C906BED8} GUID_DEVINTERFACE_USB_HUB{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} GUID_DEVINTERFACE_DISK
1.2 基于系統(tǒng)文件調(diào)查USB設(shè)備使用痕跡
7、10系統(tǒng)分區(qū)下的\inf.dev.log文件( XP環(huán)境下則為 set upapi.log)包含有關(guān)設(shè)備更換、驅(qū)動(dòng)程序更改和重要系統(tǒng)修改等數(shù)據(jù) 。該文件記載有制造廠商、設(shè)備類型、設(shè)備序列號(hào)、首次掛載時(shí)間等詳細(xì)的USB設(shè)備信息 ?；谠撐募M(jìn)行分析一般可以獲得與注冊(cè)表同樣的效果
7、10事件日志增加了對(duì)USB設(shè)備的審核 。查詢?nèi)罩疽部芍?。日志檢索是檢查的最有效的手段 。
為了方便計(jì)算機(jī)用戶快速查找最近使用過的文件, 操作系統(tǒng)設(shè)置了文件夾, 該文件夾默認(rèn)存放路徑為Users\\\( XP下則為Docu ments and \) 。文件夾有隱藏屬性, 只有在文件夾選項(xiàng)中取消“ 隱藏受保護(hù)的操作系統(tǒng)文件” 后, 才能正常查看文件夾 。文件夾下存放的實(shí)際是文件(或文件夾及應(yīng)用程序)的快捷方式文件, 其擴(kuò)展名為lnk 。此類快捷方式文件包含的有目標(biāo)文件屬性及用戶操作信息, 這些信息會(huì)跟隨用戶行為改變而發(fā)生改變 。利用WFA( File )工具解析出的內(nèi)嵌于快捷方式文件中的目標(biāo)文件信息, 主要包括目標(biāo)文件路徑、創(chuàng)建時(shí)間、修改時(shí)間、訪問時(shí)間等 。
另外,7以后為實(shí)現(xiàn)跳轉(zhuǎn)列表功能而設(shè)置了擴(kuò)展名為s-ms的文件(Users%%\\\ 文件夾下), 利用此類文件同樣可以分析出與文件夾下快捷方式文件類似的痕跡信息 。
.db是操作系統(tǒng)用于緩存圖標(biāo)的文件, 在 7系統(tǒng)中該文件位于C:Users\Local文件夾下(在 XP系統(tǒng)中該文件則存放在C: and \ LocalData下) 。.db是隱藏文件, 需要在文件夾選項(xiàng)中顯示所有文件和文件夾才能正常查看 。操作系統(tǒng)利用Icon Cache.db文件緩存圖標(biāo)信息, 實(shí)現(xiàn)在特定文件夾下快速展現(xiàn)文件圖標(biāo), 以減輕系統(tǒng)重新解析所造成的負(fù)擔(dān) 。
用戶使用系統(tǒng)的過程中, 系統(tǒng)會(huì)逐漸向.db文件添加文件圖標(biāo)、文件存儲(chǔ)路徑等信息 。當(dāng)用戶把USB存儲(chǔ)設(shè)備連接至計(jì)算機(jī)系統(tǒng)后, 如果USB存儲(chǔ)設(shè)備的根目錄下包含可執(zhí)行程序, 無論它是否運(yùn)行, 其文件名稱、圖標(biāo)、存儲(chǔ)位置、USB設(shè)備盤符等信息就會(huì)自動(dòng)添加至.db數(shù)據(jù)庫中 。此外, 如果用戶瀏覽的文件夾含有可執(zhí)行程序, 也會(huì)自動(dòng)追加相應(yīng)信息 ?；?db文件分析USB設(shè)備使用痕跡的局限是需要對(duì)應(yīng)文件夾下有可執(zhí)行程序, 并且只能分析出盤符信息 。
當(dāng)然這些操作，在結(jié)合數(shù)據(jù)恢復(fù)技術(shù)，基本上痕跡就很難藏得住了 。
【W(wǎng)indows下調(diào)查USB使用痕跡方法研究】本文到此結(jié)束，希望對(duì)大家有所幫助 。

• 有哪些好看的番劇推薦一下 ?有什么番劇推薦
• 并非為情所傷 ?張?jiān)评资录嬇_(tái)是怎么回事，喝多了掉下去了
• 考教師，新課改得了解，新課程背景下的教育觀考點(diǎn)解析及練習(xí)題
• ?沈騰說馬麗背影好看，下一秒說像大蛤蟆，網(wǎng)友：怕不是下秒就挨懟
• ?立春的下一個(gè)節(jié)氣是什么
• ?換下來的舊國旗怎么處理
• 曹操帳下第一猛將典韋，其死亡不是個(gè)意外！ ?典韋簡(jiǎn)介
• 附常用快捷鍵 adobe全家桶下載使用安裝及應(yīng)用場(chǎng)景
• 下 如何通過上市公司財(cái)務(wù)指標(biāo)選股？
• ?炒西芹用不用焯一下水