กิจกรรม USB ถอดปลั๊กถูกบันทึกไว้ใน Windows 7 หรือไม่ (หนูถูกขโมยเมื่อไหร่)


19

ฉันรู้ว่ามันฟังดูไร้สาระ แต่มีใครบางคนขโมยเม้าส์ของฉันจากห้องเล็ก ๆ ของฉัน .. ฉันมาทำงานในตอนเช้าและกำลังจะให้หนูขยับตัวเล็กน้อยเพื่อปลุกจอมอนิเตอร์ แต่มันไม่ได้อยู่ที่นั่น!

ฉันพยายามที่จะคิดออกเมื่อสิ่งนี้เกิดขึ้น ฉันใช้ Windows 7 และเป็นเมาส์ USB ฉันตรวจสอบบันทึกเหตุการณ์ แต่ดูเหมือนจะไม่มีบันทึกใด ๆ ที่อาจบอกฉันว่าฉันกำลังมองหาอะไร

มีสถานที่ใดที่มีเหตุการณ์ USB unplug เข้าสู่ระบบหรือไม่


7
บันทึกเหตุการณ์ของฉันเรียกว่ากล้องความปลอดภัย
Bart Silverstrim

3
ฉันมักจะพบหนูที่หายไปในเครื่องเป่า
GregD

2
ตั้งกับดักซื้อกล้องที่ซ่อนอยู่และเมาส์ที่ดีกว่าเพื่อขโมยโจรอีกครั้ง
Moab

2
ฉันรักคำถามนี้ชอบที่จะเห็นมันตอบ ...
studiohack

3
ผู้กระทำผิดเคยถูกจับ?
ดึง

คำตอบ:


5

ไม่มีบันทึกของพวกเขาโชคร้าย - เหตุการณ์เหล่านั้นหายไปตลอดกาล ฉันต้องการdmesgWindows ที่เทียบเท่าเสมอ

ด้วย Windows XP และรุ่นก่อนหน้าคุณสามารถใช้winmsdเพื่อสร้างเอาท์พุทการกำหนดค่าระบบ แต่ในรุ่นที่ใหม่กว่าจะถูกแทนที่ด้วยmsinfo32(แอปพลิเคชัน GUI ที่ฉันไม่แน่ใจเกี่ยวกับการแยกวิเคราะห์ผลลัพธ์ของ)

ทั้งสองอย่างนี้ให้ข้อมูล ณ เวลาที่กำหนดเท่านั้นดังนั้นสำหรับงานนักสืบที่ถูกขโมยเมาส์คุณจะต้องทำการบันทึกผลลัพธ์ของwinmsdไฟล์เป็นประจำ ฉันต้องยอมรับว่าฉันจะไปกับข้อเสนอแนะของเว็บแคมในอนาคต


แต่เป็นไปได้หรือไม่ที่โปรแกรม Windows จะทำ หรือฟังก์ชั่นการใช้งานไม่ได้มีเฉพาะใน Windows (โปรแกรมไม่สามารถใช้งานได้)?
Pacerier

2
จริงๆแล้วมีไฟล์บันทึกสำหรับสิ่งนี้ มันเรียกว่าMicrosoft-Windows-DriverFrameworks-UserMode-Operational.evtxแต่มันถูกปิดการใช้งานโดยค่าเริ่มต้นใน Win10
StackzOfZtuff

7

มันอาจจะสายเกินไป แต่มีซอฟต์แวร์สองสามอย่างที่จะทำอย่างนั้น หนึ่งที่ง่ายที่สุดในการใช้เป็นUSBLogView

ตัวเลือกอื่น ๆ ที่ไม่เป็นมิตรคือWindows USB Storage Parserหรือ USBView ของ Microsoft (UVCView บน Win7) ที่มาพร้อมกับ Windows Driver Kit (WDK)

หากคุณต้องการทำให้มือของคุณสกปรกให้เปิด RegEdit แล้วค้นหารายการต่อไปนี้:

คำอธิบาย : รายชื่อของอุปกรณ์ USB ติดตั้งทั้งการเชื่อมต่อและไม่เกี่ยวเนื่องกันสถานที่ตั้ง : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB ทำไมคุณดูแลหมายเลขซีเรียลมันอาจจะเป็นประโยชน์ที่จะรู้ว่าสิ่งที่อุปกรณ์ USB ได้เชื่อมต่อกับกล่องและแม้กระทั่งผู้ขายและ: ของอุปกรณ์ในบางกรณี คิดว่ามีคนคัดลอกข้อมูลไปยัง thumbdrive หรือไม่? สิ่งนี้อาจช่วยคุณติดตามสิ่งที่ thumbdrive คิดว่ามีประโยชน์อย่างไรที่จะช่วยผูกสิ่งที่ผู้ใช้มีอยู่จริงในกล่อง

คำอธิบาย : รายการของอุปกรณ์เก็บข้อมูล USB ที่ติดตั้งที่ตั้ง : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR ทำไมคุณใส่ใจ : เหมือนกับรายการอุปกรณ์ USB ที่ติดตั้ง แต่เพียงสำหรับที่จัดเก็บข้อมูล USB คิดว่ามีคนคัดลอกข้อมูลไปยัง thumbdrive หรือไม่? สิ่งนี้อาจช่วยคุณติดตามสิ่งที่ thumbdrive CleanAfterMe ขัด HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB แต่ไม่ใช่ USBSTOR เมื่อฉันทดสอบครั้งสุดท้าย


1
การตรวจสอบคีย์เหล่านั้นด้วย Procmon.exe จาก SysInternals ทำสิ่งที่ฉันต้องการ
Doug Wilson
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.