操屁眼的视频在线免费看,日本在线综合一区二区,久久在线观看免费视频,欧美日韩精品久久综

作為**單位，每回的**檢查USB檢查是重點，但是現在網上到處都是清除工具，而專業的檢查工具又貴還不一定好用，為給各位檢查人員提供點好用的工具。今天給大家貢獻一下本人的觀點。下一步做一個專業工具放出來共享。本文只代表個人觀點，有意見的可以隨時拍我。

USB是一種外部總線標準,, 用于電腦與外部設備的連接和通訊。典型的USB設備主要包括U盤、移動硬盤、數碼相機、掃描儀、圖像設備、打印機、鍵盤和鼠標等。

目前大家都是利用UsbViewer工具抽取出的USB設備信息, 主要包含有設備名稱、設備類型、設備序列號、首次掛載時間及最近一次掛載時間等。此工具完全依賴注冊表進行信息收集, 在相關注冊表項被刪除(如UsbViewer即自帶“ 清除痕跡” 功能)的情況下就什么都找不到了。其實操作系統整體環境分析USB設備使用痕跡還是有很多手段的

Windows環境下調查USB使用痕跡

1.1 基于注冊表調查USB設備使用痕跡

注冊表是USB設備使用痕跡最主要且最重要的來源。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USB  
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Enum\USBSTOR  
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}  
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX(CurrentControSetXXX)\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed} 

其中 ControlSetXXX 和 CurrentControlSetXXX 表示的是注冊表中的類似于 ControlSet001、ControlSet002、CurrentControlSet 這樣的子鍵（CurrentControlSet 子鍵一般只有一個，特殊情況下可能有 CurrentControlSet001 等多個，同樣的 ControlSet 一般只有 ControlSet001 和 ControlSet002 這兩個，特殊情況下可能會有多個），CurrentControlSet 保存的是系統的當前的一些配置信息，而 ControlSet001 等則是對當前配置信息的備份，一般注冊表都會有兩個以上的備份，有的時候可能會有更多。在 ControlSetXXX 中的信息和 CurrentControlSet 中的信息一般都是一樣的，所以在檢測和刪除 USB 存儲設備信息時，不僅要檢測 CurrentControlSet 子鍵，也要檢測 ControlSetXXX 子鍵。Enum\下的USB表鍵使用VID_v(4)& PID_d(4)格式描述USB設備。其中, v(4)代表4個數字的銷售商代碼(由 USB協會分配給各銷售商); d(4)代表4個數字的產品代碼(由銷售商分配給其生產的產品)。USBSTOR表鍵則使用Disk& Ven_iManufacturer& Prod_iProduct& Rev_r(4)格式進行描述。iManufacturer表示制造廠商, iProduct表示設備類型, r(4)則為修正碼。UsbViewer工具即基于USBSTOR表鍵進行信息抽取, 因此獲取到的序列號通常情況下并不完全準確。值得一提的是, 如USB設備中未包含有序列號信息, Windows則會通過系統自動生成的字符串標識該設備。 USB表鍵和USBSTOR表鍵均未包含掛載的時間信息, 實際上此處時間信息是以屬性形式進行存儲的。選擇以序列號為名稱的子鍵, 單擊右鍵選擇“ 導出” , 并將“ 保存類型” 選為“ 文本文件” , 打開保存后的文本文件即可獲得時間信息。還需要指出的是, USBSTOR表鍵下有一名為ParentIdPrefix鍵值, 該鍵值數據通過關聯MountedDevices表鍵可以指示出USB設備的盤符信息。MountedDevices表鍵下的信息只會存儲最近一次掛載的ParentIdPrefix鍵值信息, 無法追溯盤符分配的歷史記錄。Windows 7注冊表中則不再含有ParentIdPrefix鍵值, 而是通過設備序列號與MountedDevices表鍵關聯, 以確定盤符。Windows 7、10中最新設置的UMB表鍵為追蹤USB設備提供了更大的便利[2]。該表項涵蓋了USB和USBSTOR表鍵的重要信息, 同時指示出USB設備被分配的盤符, 彌補了MountedDevices表鍵的不足。對于 Control\DeviceClasses 來說，該子鍵下存儲的是以 GUID 分類的設備信息，其中有幾個是和 USB 設備有關的（它們在微軟的 USB 和存儲設備輸入輸出控制頭文件 USBIODEF.H 和NTDDSTOR.H 中定義，有興趣自己到MSDN上去看）：

{A5DCBF10-6530-11D2-901F-00C04FB951ED} GUID_DEVINTERFACE_USB_DEVICE  
{3ABF6F2D-71C4-462A-8A92-1E6861E6AF27} GUID_DEVINTERFACE_USB_HOST_CONTROLLER  
{F18A0E88-C30C-11D0-8815-00A0C906BED8} GUID_DEVINTERFACE_USB_HUB  
{53F56307-B6BF-11D0-94F2-00A0C91EFB8B} GUID_DEVINTERFACE_DISK  

1.2 基于系統文件調查USB設備使用痕跡

Windows 7、10系統分區下的\Windows\inf\Setupapi.dev.log文件(Windows XP環境下則為\Windows \set upapi.log)包含有關設備更換、驅動程序更改和重要系統修改等數據。該文件記載有制造廠商、設備類型、設備序列號、首次掛載時間等詳細的USB設備信息。基于該文件進行分析一般可以獲得與注冊表同樣的效果

Windows 7、10事件日志增加了對USB設備的審核。查詢日志也可知道。日志檢索是檢查的最有效的手段。

為了方便計算機用戶快速查找最近使用過的文件, Windows操作系統設置了Recent文件夾, 該文件夾默認存放路徑為\Users\UserName\AppData\Roaming\Microsoft\Windows\Recent(Windows XP下則為\Docu ments and Settings\UserName\Recent)。Recent文件夾有隱藏屬性, 只有在文件夾選項中取消“ 隱藏受保護的操作系統文件” 后, 才能正常查看Recent文件夾。Recent文件夾下存放的實際是文件(或文件夾及應用程序)的快捷方式文件, 其擴展名為lnk。此類快捷方式文件包含的有目標文件屬性及用戶操作信息, 這些信息會跟隨用戶行為改變而發生改變。利用WFA(Windows File Analyzer)工具解析出的內嵌于快捷方式文件中的目標文件信息, 主要包括目標文件路徑、創建時間、修改時間、訪問時間等。

另外, Windows 7以后為實現跳轉列表功能而設置了擴展名為automaticDestinations-ms的文件(\Users\%username%\AppData\Roaming\Microsoft\Windows\Recent\Automatic Destinations文件夾下), 利用此類文件同樣可以分析出與Recent文件夾下快捷方式文件類似的痕跡信息。

IconCache.db是Windows操作系統用于緩存圖標的文件, 在Windows 7系統中該文件位于C:\Users\Username\AppData\Local\文件夾下(在Windows XP系統中該文件則存放在C:\Document and Settings\Username\ Local Settings\Application Data下)。IconCache.db是隱藏文件, 需要在文件夾選項中顯示所有文件和文件夾才能正常查看。Windows操作系統利用Icon Cache.db文件緩存圖標信息, 實現在特定文件夾下快速展現文件圖標, 以減輕系統重新解析所造成的負擔。

用戶使用Windows系統的過程中, 系統會逐漸向IconCache.db文件添加文件圖標、文件存儲路徑等信息。當用戶把USB存儲設備連接至計算機系統后, 如果USB存儲設備的根目錄下包含可執行程序, 無論它是否運行, 其文件名稱、圖標、存儲位置、USB設備盤符等信息就會自動添加至IconCache.db數據庫中。此外, 如果用戶瀏覽的文件夾含有可執行程序, 也會自動追加相應信息。基于IconCache.db文件分析USB設備使用痕跡的局限是需要對應文件夾下有可執行程序, 并且只能分析出盤符信息。

當然這些操作，在結合數據恢復技術，基本上痕跡就很難藏得住了。