Как посмотреть историю подключения USB?
Недавно на сайте был задан интересный вопрос. Автор интересовался можно ли посмотреть историю подключения USB. Если есть интерес значит надо об этом написать. Кроме того данная тема относится к Форензике — компьютерной криминалистике, а как вам известно эта тема переплетается с тематикой нашего сайта.
Еще по теме: Программы для анализа истории подключения флешек
Поэтому в данной статье я решил рассказать про все способы, которые позволяют узнать: когда и какие USB устройства подключались к компьютеру под управлением операционной системы Windows.
Существуют несколько способов: ручной — это когда самому надо копаться в реестре Windows и с использованием специальных программ. Я поверхностно расскажу про реестр и более подробно поговорю о программах, так как это на мой взгляд самый легкий и удобный способ вытащить историю использования USB девайсов.
История USB подключений вручную
Все данные о подключениях USB хранятся в реестре Windows в этих ветках:
1 |
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR |
1 |
HKLM\SYSTEM\CurrentControlSet\Enum\USB |
1 |
HKLM\SYSTEM\MountedDevices |
1 |
HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b} |
Если опыта нет, туда лучше не соваться. А если решитесь, то хотя бы делайте бекап или снимок реестра. Как это сделать мы писали в статье «Отслеживание изменений реестра»
История USB подключений программами
Идеальным для меня способом является использование специальных программ. Я представлю две программы, у каждой есть свои достоинства. Для вашего удобства в конце статьи я прикрепил архив для скачивания всех программ разом.
История USB подключений программой USBDeview
USBDeview — это маленькая, бесплатная программа для просмотра и анализа истории подключения USB- устройств, таких как флешка, внешний жесткий диск, смартфон, планшет, USB мышка, клавиатура и т.д.
Скачать USBDeview
Скачать USBDeview бесплатно вы можете по этой прямой ссылке английскую версию. А Русскую версию здесь с файлообменика.
Автор программы известный Израильский программист Нир Софер, который написал большое количество бесплатных, полезных приложений.
Использование USBDeview
После того как скачали, разархивируйте и запустите файл «USBDeview.exe». Версия портабельная, т.е не требует установки, и после запуска мгновенно запустится.
Быстренько просканировав компьютер USBDeview отобразит список всех ранее подключенных USB-устройств.
Вот какую информацию может показать программа:
- Имя устройства
- Описание
- Первое подключение
- Последнее подключение
- Буква диска
- Серийный номер
- Производитель устройства
- Версия USB
- И т.д.
Есть еще куча другой информации, но большинству для того чтобы отследить кто и когда подключал к компьютеру флешку наверное хватит даты подключения, названия и описания USB-устройства.
Это по поводу информации которую может предоставить данная утилита. Но кроме этого программа может отключить, включить, удалить а также запретить USB устройства. Если вы собираетесь проделывать какую-нибудь из этих вышеперечисленных операций, то я настоятельно рекомендую сделать предварительно бекап или точку восстановления системы. Если же вы желаете просто просмотреть историю подключений, то делать бекап не требуется.
Кроме этого программа умеет работать из командной строки. Т.е. используя специальные команды можно получить всю информацию удаленно. Подробнее о командах вы можете узнать на сайте разработчика.
Ну, и конечно все полученные данные можно сохранить в виде отчета во всевозможные форматы от *.txt до *.html.
История USB программой USB History Viewer
Следующая программа с которой я хочу вас познакомить — это USB History Viewer. Утилита отображает информацию только о подключенных флешках и внешних жестких дисках.
Скачать USB History Viewer
Скачать USB History Viewer бесплатно вы можете по этой ссылке только английскую версию.
Использование USB History Viewer
Запускаем программу и видим три поля.
- Computer name (Имя компьютера)
- Authentication (Авторизация)
- Get USB History (Список флешек)
В первом поле выбираем компьютер. Во втором поле прописываем данные авторизации и нажимаем Start. Если необходимо вытащить информацию по текущему компьютеру и пользователю, то нечего не меняем, оставляем все поля как есть.
Данная программа лично мне нравится меньше, хотя имеет свои плюсы. Главным достоинством является умение вытаскивать историю использование флешек удаленно в локальной сети, но это требует логина и пароля удаленной машины.
На самом деле есть еще программа Internet Evidence Finder, но из-за ее фантастически высокой цены я даже рассказывать про нее не стал. Мощная утилита, но стоит 999$. Если вы профи Форензики, то вперед, но большинству хватит и этих инструментов.
Скачать архив с представленными в статье программами вы можете по этой ссылке.
На этом все, друзья. Надеюсь вам помогла данная статья и вы смогли посмотреть историю подключения USB. В целом это очень нужные программы, которыми надо уметь пользоваться, иметь у себя в архиве программ, ну или хотя бы как минимум знать об их существовании.
Кстати, чтобы не пропустить обзоры других подобных программ обязательно подпишитесь на наши паблики в социальных сетях. В будущем будет еще больше интересного!
Если вы пользуетесь социальной сетью ВКонтакте, то вам будет интересно узнать как с помощью функции «История активности ВКонтакте» узнать о взломе своей страницы.
Как удалить историю usb на маке?
А эти данные о серийнике юсб посылаются куда нибудь (например ОСью) или только локально остаются на компьютере?
не посылаются. данные о юсб можно сохранить только локально
А можно более развёрнуто про ручной поиск?
Просто не всегда будут софтинки под рукой, а ручками всё сразу сделал и всё
А можно как-то удаленно посмотреть историю usb подключений?
Можно с помощью метасплоита, но должна быть открыта сессия с удалённой машиной и повышенными привилегиями.
Вручную — пишется слитно.
Правильное замечание. Спасибо.
А если у меня в наличии HDD, который побывал в чужих руках, — как узнать, подключали ли его к чужому устройству?
Спасибо, полезно : )
Не получается удалить записи внутри HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR и остальных веток реестра. Пишет отказано в доступе. Regedit запускал от имени администратора. Как тогда выполнить удаление? Спасибо.
В реестре наверху выбираем правка, разрешения и добавляем администратора и разрешения
не получается скорее всего потому, что уже программками, типа ЮСБдевью, чистили. Так что очистка истории подключений — только ручками:)
Программа показывает серийный номер USB устройства, но не самого жесткого диска. Можно ли узнать подключался жесткий диск отдельно к компьютеру?
Добрый день, а как можно узнать что было записано на флешку?
В тексте не увидел информации о том, сохраняется ли где-то кроме первого и последнего подключения информация о всех фактах (дата, время) подключения одного и того же устройства?
И что скажете по поводу программы usb oblivion — насколько чисто она работает и много ли после себя оставляет?
А как узнать во сколько устройство было отключено от компьютера?
а как удалить с флешки информацию об устройствах где она побывала?
Как узнать какая из списка флешек «твоя»? Можно ли удалить из списка?
К сожалению, после удаления инфы о флешках через программу, ключи в реестре всё равно присутствуют. В моём случае, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB.