作為**單位,每回的**檢查USB檢查是重點(diǎn),但是現(xiàn)在網(wǎng)上到處都是清除工具,而專業(yè)的檢查工具又貴還不一定好用,為給各位檢查人員提供點(diǎn)好用的工具。今天給大家貢獻(xiàn)一下本人的觀點(diǎn)。下一步做一個(gè)專業(yè)工具放出來共享。本文只代表個(gè)人觀點(diǎn),有意見的可以隨時(shí)拍我。
USB是一種外部總線標(biāo)準(zhǔn),, 用于電腦與外部設(shè)備的連接和通訊。典型的USB設(shè)備主要包括U盤、移動(dòng)硬盤、數(shù)碼相機(jī)、掃描儀、圖像設(shè)備、打印機(jī)、鍵盤和鼠標(biāo)等。
目前大家都是利用UsbViewer工具抽取出的USB設(shè)備信息, 主要包含有設(shè)備名稱、設(shè)備類型、設(shè)備序列號(hào)、首次掛載時(shí)間及最近一次掛載時(shí)間等。此工具完全依賴注冊(cè)表進(jìn)行信息收集, 在相關(guān)注冊(cè)表項(xiàng)被刪除(如UsbViewer即自帶“ 清除痕跡” 功能)的情況下就什么都找不到了。其實(shí)操作系統(tǒng)整體環(huán)境分析USB設(shè)備使用痕跡還是有很多手段的
Windows環(huán)境下調(diào)查USB使用痕跡
1.1 基于注冊(cè)表調(diào)查USB設(shè)備使用痕跡
注冊(cè)表是USB設(shè)備使用痕跡最主要且最重要的來源。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USB
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USBSTOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed} 其中 ControlSetXXX 和 CurrentControlSetXXX 表示的是注冊(cè)表中的類似于 ControlSet001、ControlSet002、CurrentControlSet 這樣的子鍵(CurrentControlSet 子鍵一般只有一個(gè),特殊情況下可能有 CurrentControlSet001 等多個(gè),同樣的 ControlSet 一般只有 ControlSet001 和 ControlSet002 這兩個(gè),特殊情況下可能會(huì)有多個(gè)),CurrentControlSet 保存的是系統(tǒng)的當(dāng)前的一些配置信息,而 ControlSet001 等則是對(duì)當(dāng)前配置信息的備份,一般注冊(cè)表都會(huì)有兩個(gè)以上的備份,有的時(shí)候可能會(huì)有更多。在 ControlSetXXX 中的信息和 CurrentControlSet 中的信息一般都是一樣的,所以在檢測(cè)和刪除 USB 存儲(chǔ)設(shè)備信息時(shí),不僅要檢測(cè) CurrentControlSet 子鍵,也要檢測(cè) ControlSetXXX 子鍵。Enum\下的USB表鍵使用VID_v(4)& PID_d(4)格式描述USB設(shè)備。其中, v(4)代表4個(gè)數(shù)字的銷售商代碼(由 USB協(xié)會(huì)分配給各銷售商); d(4)代表4個(gè)數(shù)字的產(chǎn)品代碼(由銷售商分配給其生產(chǎn)的產(chǎn)品)。USBSTOR表鍵則使用Disk& Ven_iManufacturer& Prod_iProduct& Rev_r(4)格式進(jìn)行描述。iManufacturer表示制造廠商, iProduct表示設(shè)備類型, r(4)則為修正碼。UsbViewer工具即基于USBSTOR表鍵進(jìn)行信息抽取, 因此獲取到的序列號(hào)通常情況下并不完全準(zhǔn)確。值得一提的是, 如USB設(shè)備中未包含有序列號(hào)信息, Windows則會(huì)通過系統(tǒng)自動(dòng)生成的字符串標(biāo)識(shí)該設(shè)備。 USB表鍵和USBSTOR表鍵均未包含掛載的時(shí)間信息, 實(shí)際上此處時(shí)間信息是以屬性形式進(jìn)行存儲(chǔ)的。選擇以序列號(hào)為名稱的子鍵, 單擊右鍵選擇“ 導(dǎo)出” , 并將“ 保存類型” 選為“ 文本文件” , 打開保存后的文本文件即可獲得時(shí)間信息。還需要指出的是, USBSTOR表鍵下有一名為ParentIdPrefix鍵值, 該鍵值數(shù)據(jù)通過關(guān)聯(lián)MountedDevices表鍵可以指示出USB設(shè)備的盤符信息。MountedDevices表鍵下的信息只會(huì)存儲(chǔ)最近一次掛載的ParentIdPrefix鍵值信息, 無法追溯盤符分配的歷史記錄。Windows 7注冊(cè)表中則不再含有ParentIdPrefix鍵值, 而是通過設(shè)備序列號(hào)與MountedDevices表鍵關(guān)聯(lián), 以確定盤符。Windows 7、10中最新設(shè)置的UMB表鍵為追蹤USB設(shè)備提供了更大的便利[2]。該表項(xiàng)涵蓋了USB和USBSTOR表鍵的重要信息, 同時(shí)指示出USB設(shè)備被分配的盤符, 彌補(bǔ)了MountedDevices表鍵的不足。對(duì)于 Control\DeviceClasses 來說,該子鍵下存儲(chǔ)的是以 GUID 分類的設(shè)備信息,其中有幾個(gè)是和 USB 設(shè)備有關(guān)的(它們?cè)谖④浀?USB 和存儲(chǔ)設(shè)備輸入輸出控制頭文件 USBIODEF.H 和NTDDSTOR.H 中定義,有興趣自己到MSDN上去看):
{A5DCBF10-6530-11D2-901F-00C04FB951ED} GUID_DEVINTERFACE_USB_DEVICE
{3ABF6F2D-71C4-462A-8A92-1E6861E6AF27} GUID_DEVINTERFACE_USB_HOST_CONTROLLER
{F18A0E88-C30C-11D0-8815-00A0C906BED8} GUID_DEVINTERFACE_USB_HUB
{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} GUID_DEVINTERFACE_DISK 1.2 基于系統(tǒng)文件調(diào)查USB設(shè)備使用痕跡
Windows 7、10系統(tǒng)分區(qū)下的\Windows\inf\Setupapi.dev.log文件(Windows XP環(huán)境下則為\Windows \set upapi.log)包含有關(guān)設(shè)備更換、驅(qū)動(dòng)程序更改和重要系統(tǒng)修改等數(shù)據(jù)。該文件記載有制造廠商、設(shè)備類型、設(shè)備序列號(hào)、首次掛載時(shí)間等詳細(xì)的USB設(shè)備信息。基于該文件進(jìn)行分析一般可以獲得與注冊(cè)表同樣的效果
Windows 7、10事件日志增加了對(duì)USB設(shè)備的審核。查詢?nèi)罩疽部芍馈H罩緳z索是檢查的最有效的手段。
為了方便計(jì)算機(jī)用戶快速查找最近使用過的文件, Windows操作系統(tǒng)設(shè)置了Recent文件夾, 該文件夾默認(rèn)存放路徑為\Users\UserName\AppData\Roaming\Microsoft\Windows\Recent(Windows XP下則為\Docu ments and Settings\UserName\Recent)。Recent文件夾有隱藏屬性, 只有在文件夾選項(xiàng)中取消“ 隱藏受保護(hù)的操作系統(tǒng)文件” 后, 才能正常查看Recent文件夾。Recent文件夾下存放的實(shí)際是文件(或文件夾及應(yīng)用程序)的快捷方式文件, 其擴(kuò)展名為lnk。此類快捷方式文件包含的有目標(biāo)文件屬性及用戶操作信息, 這些信息會(huì)跟隨用戶行為改變而發(fā)生改變。利用WFA(Windows File Analyzer)工具解析出的內(nèi)嵌于快捷方式文件中的目標(biāo)文件信息, 主要包括目標(biāo)文件路徑、創(chuàng)建時(shí)間、修改時(shí)間、訪問時(shí)間等。
另外, Windows 7以后為實(shí)現(xiàn)跳轉(zhuǎn)列表功能而設(shè)置了擴(kuò)展名為automaticDestinations-ms的文件(\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\Automatic Destinations文件夾下), 利用此類文件同樣可以分析出與Recent文件夾下快捷方式文件類似的痕跡信息。
IconCache.db是Windows操作系統(tǒng)用于緩存圖標(biāo)的文件, 在Windows 7系統(tǒng)中該文件位于C:\Users\Username\AppData\Local\文件夾下(在Windows XP系統(tǒng)中該文件則存放在C:\Document and Settings\Username\ Local Settings\Application Data下)。IconCache.db是隱藏文件, 需要在文件夾選項(xiàng)中顯示所有文件和文件夾才能正常查看。Windows操作系統(tǒng)利用Icon Cache.db文件緩存圖標(biāo)信息, 實(shí)現(xiàn)在特定文件夾下快速展現(xiàn)文件圖標(biāo), 以減輕系統(tǒng)重新解析所造成的負(fù)擔(dān)。
用戶使用Windows系統(tǒng)的過程中, 系統(tǒng)會(huì)逐漸向IconCache.db文件添加文件圖標(biāo)、文件存儲(chǔ)路徑等信息。當(dāng)用戶把USB存儲(chǔ)設(shè)備連接至計(jì)算機(jī)系統(tǒng)后, 如果USB存儲(chǔ)設(shè)備的根目錄下包含可執(zhí)行程序, 無論它是否運(yùn)行, 其文件名稱、圖標(biāo)、存儲(chǔ)位置、USB設(shè)備盤符等信息就會(huì)自動(dòng)添加至IconCache.db數(shù)據(jù)庫中。此外, 如果用戶瀏覽的文件夾含有可執(zhí)行程序, 也會(huì)自動(dòng)追加相應(yīng)信息。基于IconCache.db文件分析USB設(shè)備使用痕跡的局限是需要對(duì)應(yīng)文件夾下有可執(zhí)行程序, 并且只能分析出盤符信息。
當(dāng)然這些操作,在結(jié)合數(shù)據(jù)恢復(fù)技術(shù),基本上痕跡就很難藏得住了。
U盤是經(jīng)常使用的可移動(dòng)設(shè)置,它小巧輕便、功能強(qiáng)大,深得用戶的喜愛,用于拷貝資料、存儲(chǔ)文件、安裝軟件等等。但用戶在Windows系統(tǒng)中使用完U盤后,就會(huì)在電腦中會(huì)留下使用痕跡,像USBViewer這類的軟件就可精確的看到之前U盤的盤符信息,有一些可能是你的隱私信息,為此,怎樣清除u盤使用痕跡保護(hù)隱私?下面小編分享妙用注冊(cè)表徹底清理Win10的U盤使用記錄。具體設(shè)置如下:
1、“Win+R”組合鍵打開運(yùn)行,輸入“regedit”進(jìn)入注冊(cè)表;
2、點(diǎn)擊左上角的“編輯-查找”,去掉“值”和“數(shù)據(jù)”選項(xiàng)的勾選,只勾選“項(xiàng)”,輸入“usbstor”,點(diǎn)擊查找下一個(gè);
3、在系統(tǒng)給出的搜索結(jié)果中,找到帶有“x86_usbstor.”有關(guān)的項(xiàng),單擊右鍵,選擇【刪除】即可。
以上就是妙用注冊(cè)表徹底清理Win10的U盤使用記錄的介紹了,通過以上方法可快速清除u盤使用痕跡保護(hù)你的隱私。如果想要學(xué)習(xí)更多win10系統(tǒng)小竅門,請(qǐng)關(guān)注“Windows10使用小竅門”頭條號(hào)。