Где в реестре usb устройства

Обновлено: 07.07.2024

Как определить, что у компьютера есть еще и «другая жизнь», о которой владелец не знает?

Любое устройство, подключаемое к системе – оставляет свои следы в реестре и лог файлах.

Существует несколько способов определить — какие USB-Flash-накопители подключались к устройству:

1) С использованием специальных программ

Если нужно знать, что именно копировалось с/на компьютер – используем этот способ. При условии соблюдения политик безопасности и с помощью специального софта можно не только отследить, что в компьютер вставлялся USB flash диск, но и логгировать имена файлов, которые копировались с/на диск, и содержимое этих копируемых файлов.

С помощью специальных программ можно проконтролировать доступ не только к USB flash-дискам, но и ко всему спектру съемных устройств, принтеров и сканеров.

Специализированного софта по данной теме можно перечислить много, например – SecureWave Sanctuary Device Control / Lumension Device Control, DeviceLock, GFi EndPointSecurity, InfoWatch Device Monitor и т.п. Выбор конкретного софта зависит от конкретных условий применения.

2) Ручной – самостоятельно просматриваем реестр

Все данные о подключениях USB хранятся в реестре в этих ветках:

В первой (USBSTOR) отображаются устройства-носители (как правило флеш-накопители), во- второй (USB) – телефоны, камеры, мышки и т.д.

Рис.1 – Редактор реестра. Информация о флеш-накопителях ​

Для того, чтобы узнать дату и время подключения можно экспортировав нужный раздел в файл с расширением txt.

Рис.2 – Редактор реестра. Экспорт USBTOR ​

Рис.3 – Редактор реестра. Результат экспорта ​

В данном примере флешка была вставлена в USB порт 29.10.2019 - 13:21.

Так же можно экспортировать раздел USBSTOR в файл с расширением txt.

Рис.4 – Редактор реестра. Экспорт USB ​

Затем запускаем поиск устройств MTP (латинскими).

Рис.5 – Редактор реестра. Экспорт USB ​

Находим дату и время подключения мобильного телефона (в данном примере) к USB компьютера. Так же по поиску устройств MTP могут находиться фотоаппараты и планшеты.

Из практики:

Те, кто хоть как-то связан с кибербезопасностью, наверняка не раз слышали поучительную истории о флешках, разбросанных по парковкам. Это был обычный эксперимент, проведенный в студенческом кампусе Университета штата Иллинойс, с несколькими сотнями утерянных флешек, на которых был записан безобидный скрипт, сообщающий о подключении USB-накопителя к компьютеру. Итог – 45% утерянных флешек были подключены в течении 10 часов после начала эксперимента.

Еще одно событие, произошедшее в прошлом году. В изолированную сеть атомной электростанции попало вредоносное ПО. Причина – сотрудник, для решения задач предприятия, использовал USB со скачанным для семейного просмотра фильмом.

Помните, что даже личные накопители сотрудников (флешки, карты памяти) способны нанести компании урон не меньший, чем внешняя атака.

Блог творческого ИТ-практика. Возьми свою мысль и дай ей ускорение идеи. В моем фокусе: сети, безопасность, виртуализация, web, мультимедиа.

А А Wednesday, 11 September 2013

Поиск сведений про USB-накопители в Windows ХР/7

Важность тех или иных артефактов наличия USB накопителя будет в основном зависеть от обстоятельств вашего расследования. Возможно, вам нужно посмотреть перечень всех USB накопителей, подключавшихся к зараженной машине, чтобы выяснить, куда вредоносной код мог попасть после этого. Возможно, вы подозреваете пользователя в несанкционированном копировании данных, и вам нужно определить время, в которое личные накопители таких пользователей подключались к системе. Независимо от цели вашего расследования есть несколько ключевых мест в системе Windows, в которых такая информация может быть найдена.

Вначале перескажу метод поиска, который был опубликован компанией Red Line Software для Windows 7.

Извлечение USB артефактов вручную.

Основным способом обнаружения артефактов USB накопителей является переход в место хранения данной информации вручную. Рассмотрим такие места в Windows 7. Проще всего найти информацию, содержащую список всех USB накопителей, которые подключались к системе. Эту информацию можно в готовом виде найти в системном реестре Windows в: HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR. В этом разделе вы найдете ключ каждого накопителя, который подключался к вашей системе, а также информацию о его производителе (Vendor), номере продукта (Product Number), номере версии (Version Number), и серийном номере (Serial Number), если применимо. После получения списка всех накопителей вам нужно выявить их принадлежность к пользователям. Это вполне возможно, но для этого потребуется выполнить дополнительные шаги. В реестре сначала нужно перейти в HKLM\SYSTEM\MountedDevices. В этой области вы можете выполнить поиск серийного номера подозрительного устройства. Когда номер найден, он поможет вам определить GUID, связанного с этим устройством. Когда GUID устройства у вас под рукой, нужно сконцентрироваться на личных профилях пользователей машины. В папке каждого пользовательского профиля (C:\Users) имеется файл NTUSER.DAT. К этому файлу предоставляется доступ для HKEY_CURRENT_USER всякий раз при входе его владельца в систему. В результате, этот файл можно открыть в редакторе системного реестра с правами администратора. Чтобы связать пользователя с определенным устройством, нужно перейти в следующий каталог в NTUSER.DAT разделе: Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2. Здесь вы можете найти GUID нужного устройства. Если он найден, значит, пользователь был в системе, когда устройство было к ней подключено. Следует помнить, что этот поиск необходимо выполнять для каждого пользователя системы для установления такой взаимосвязи. Одним из наиболее важных аспектов судебного расследования являются временные рамки, в течение которых совершалось расследуемое событие. Поэтому очень важно знать, когда подозрительное USB устройство было подключено или отключено от системы. Определение времени, когда накопитель был впервые подключен к системе, является вполне простой задачей при условии, что у вас есть серийный номер этого устройства (получение этой информации описано выше). При наличии этой информации найдите файл C:\Windows\inf\setupapi.dev.log и в нем найдите серийный номер этого устройства, в результате вы найдете время, когда устройство было подключено впервые: ищем строки типа на подключения ump: Creating Install Process: DrvInst.exe 16:10:07.690 и отключения ump: Server install process exited with code 0x00000000 16:10:12.573

А теперь повторим тоже самое для Windоws XP.
Различий с 7-й почти нет, но все же пройдемся еще раз.

1. Смотрим ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX\Enum\USBSTOR
Здесь находятся все устройства-носители, подключаемые к USB
В ключах находящихся в данной ветви есть параметры:
- FriendlyName (Например, он равен "Kingston DataTraveler 2.0 USB Device")
- ParentIdPrefix (Например, он равен 7&cb3a0ee&0).

Так вот первая строка - идентификатор класса, а 7&cb3a0ee&0 - уникальный идентификатор устройства. Для каждого подключаемого USB-устройства он будет разный. Даже если два устройства одинаковой класса и модели. При подключении PnP-менеджер либо считывает сюда серийный номер устройства, либо генерирует уникальный ID, если устройство не имеет зашитого серийного номера.

3. Чтобы определить время последнего подключения USB-устройства делаем следующее:
Ищем в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX\Control\DeviceClasses подключи и

4. Чтобы определить, под каким пользователем был доступ к тому делаем следующее: - в подключе MountedDevices ищем параметры вида \??\Volume , в значении которых имеется нужный нам ParentIdPrefix. - открываем файлы "NTUSER.DAT" пользователей. Там находим ключ Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
В нем ищем подключ . Соответственно, если находим, то чей NTUSER.DAT тот и имел доступ.

Автоматизация поиска.

К сожалению для автоматизации поиска с помощью VBscript ничего путнего придумать не удалось. Не претендуя на абсолютную истину, но в ХР я нашел только три класса Win32_USBControllerDevice, Win32_USBController и Win32_USBHub, которые дают не так много информации. А про временным параметрам вообще пусто.

Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\CIMV2") Set colItems = objWMIService.ExecQuery("SELECT * FROM Win32_USBControllerDevice", "WQL", _ wbemFlagReturnImmediately + wbemFlagForwardOnly) Set colItems = objWMIService.ExecQuery("Select * from Win32_USBController",,48) Set colItems = objWMIService.ExecQuery("Select * from Win32_USBHub",,48)

Поэтому мне больше нравится USBDeview. USBDeview представляет собой инструмент с графическим пользовательским интерфейсом, позволяющий извлекать, коррелировать и отображать всю информацию, ручное извлечение которой обсуждалось выше.

Если на вашей фирме использование USB устройств не запрещено полностью, то рано или поздно вы столкнетесь с ситуацией, в которой проблемы с безопасностью могут быть связаны с портативным USB накопителем. В этой ситуации приведенная информация поможет вам найти нужные решения, чтобы оперативно отреагировать на инцидент.

Программы для очистки реестра Я опробовал работу нескольких программ, которые обещали очистить реестр от данных, содержащих информацию о подключении USB устройств. Некоторые не работали в Windows 7, другие отказывались, что-либо удалять, особенно в 64-х битных версиях. В итоге выбор пал на две программ: USBDeview и USB Oblivion Интерфейс программы USBDeview Описывать все возможности нет смысла, скажу лишь только то, что программа показывает просто фантастическое количество информации о ранее подключаемых USB устройствах, включая дату первого и последнего использования, имеет огромное количество настроек, есть русский язык, и главное она без вопросов удаляет любые данные из реестра, даже в WIN 7 64-bit. Ссылка на программу USBDeview Интерфейс программы USB Oblivion USB Oblivion очень простая программа, с помощью которой можно просмотреть, и при желании быстро удалить из реестра информацию о подключаемых к компьютеру USB накопителях и CD-ROM устройствах.
Так же программа умеет очищать системные журналы, содержащие информацию об устанавливаемых устройствах и системных событиях. Ссылка на программу USB Oblivion Отказ от ответственности Внимание! Вся информация представлена исключительно как ознакомительная и рассчитана на очень опытных пользователей ПК. Все действия, описанные в этой статье, вы осуществляете на свой страх и риск. Помните, реестр - это база данных системы Windows. Не лезьте в реестр, не удаляйте и не исправляйте в нем ничего, если вы точно не осознаете последствий своих действий.

Комментарии и отзывы: 13

1. Илья • 19.05.2011
>>>Внимание! Эти разделы так же содержат информацию о жестких дисках, установленных на компьютере. Не удаляйте эту информацию.

Вопрос: Если я по ошибке все же удалю вместе с информацией о флешках, данные о жестких дисках, что тогда? Капут системе?

Ответ:
Нет, будет запущен процес установки нового оборудования. Это как подключить к компьютеру только что купленный новый жесткий диск. С системным диском проблем то же быть не должно, загрузочный диск определяется настройками БИОС а не реестром. Ответ:
Это нормально, значит как раз была очищена информация в реестре о USB накопителях. 3. Игорь • 29.01.2012
Для удаления из разделов USBSTOR и USB нужны другие права! от имени System! КАК?

Ответ:
Да, вы правы. Иногда, даже с установленными правами на полный доступ, удалить указанные ключи не получается. Но выход есть. Надо запустить редактор реестра с правами системы.

Как это сделать под Windows XP напишу ниже. На Виста и Windows 7 не пробовал.

И так. Для того чтобы запустить в Windows XP программу с правами системы, нужно запустить ее через "Планировщик заданий". Убедитесь, что эта служба у вас включена:

Панель управления - администрирование - службы - Планировщик заданий.

Если все в порядке составляем BAT файл следующего содержания:
at 21:01 /interactive regedit.exe

21:01 - это время (у вас будет свое значение) запуска задачи. Если у вас системные часы показывают время 20.59, то редактор реестра (regedit.exe) будет запущен в 21:01, через 2 минуты.

После чего запускаем BAT файл.
В 21:01 любуемся запущенным под системными правами редактором реестра.

4. Алексей • 06.02.2012
А можно в реестре узнать дату и время последнего подключения выбранной флешки или телефона? Ответ:
В системном реестре не хранятся такие данные. Есть удобные программы, которые контролируют и заносят в подробные отчет подключения по USB: дата, время, пользователь, скопированные с компьютера, или на компьютер данные, запущенные с USB носителя файлы и т.д. Название, к сожалению не помню. 5. Роман • 19.08.2012
Алексей, был бы очень признателен если б вы вспомнили название этих программ. весь интернет перерыл, не могу найти. Ответ:
Виндовс не собирает и не хранит информацию о том, когда к компьютеру подключалось USB устройство и что с ним делали. Но это не сложно сделать с помощью специальных программ контролирующих доступ к компьютеру (ссылка в комментарии выше).
Данные ключи системе нужны для того, что бы она могла работать с подключенным носителем (флешкой). В других местах система не хранит подобных данных, так что после их очистки в самой системе следов не останется. 7. Валерий • 26.03.2013
когда удаляю файлы юсби носителей то выдает ошибку " ошибка при удалении раздела" с чем это связанно? сделал я все по инструкции выше указанной. Ответ:
Файлы или записи в реестре? Для удаления записей из реестра могут понадобиться системные права. Подробнее в комментарии №3.

8. Афанасий • 08.07.2013
Ответ к ответу на комментарий №3
"Как это сделать под Windows XP напишу ниже. На Виста и Windows 7 не пробовал".

Я пробовал, в windows 7, но этот способ уже не работает. Редактор реестра запускается и виден в процессах, но его окна система не открывает в целях безопасности. О чем сообщает при попытке создания задания в планировщике задач.

9. Samsam • 09.08.2016
Спасибо за информацию. В windows XP метод работает прекрасно, все очищается и удаляется. В windows 7 программу нужно обязательно запускать с правами администратора, но даже в этом случае к некоторым ключам полного доступа ко всем записям USB устройств в реестре получить невозможно. 10. Андрончик • 22.12.2018
Напишите способ как в реестре вернуть отображение иконки возле диска Е то есть всех usb портов. После всяких чисток он пропал. Носитель подключаемый определяется,но иконка пустая.

Ответ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons
Удалите раздел DriveIcons

Аналогично нужно сделать с разделом Drives (если он есть)
HKEY_CLASSES_ROOT\Applications\explorer.exe\Drives

Теперь перейдите к редактированию параметров файлов в реестре. Откройте директорию HKEY_CLASSES_ROOT\Drive\DefaultIcon

В поле Имя (по умолчанию) должно быть прописано значение %SystemRoot%\System32\shell32.dll,8
Перезагрузите ПК

11. Серж • 10.06.2019
При запуске в Win XP USBOblivion вылазит ошибка, пробовал в безопасном режиме с правами админа - результат тот же(Windows XP SP3) Посоветуйте как запустить. 12. Geddik • 10.06.2019
USBOblivion не запускается в Windows XP SP3? пробовал в безопасном режиме с правами администратора- эффект тот же.Куда копать?

Ответ:
Информация с сайта разработчика:
Системные требования
Windows 2000/XP/2003/Vista/2008/7/8/8.1/2012/10 32/64-бит
Около 3 MB свободного места, установка не требуется
Административные права

В настоящее время большинство системных администраторов блокируют USB порты на компьютерах, это делается в целях безопасности, да и неплохая защита от вирусов. В первую очередь отключают порты на лицевой крышке, путем отсоединения шлейфа от материнской платы, затем блокируют изменением определенного ключа в реестре,так-же меняют групповые политики, и напоследок отключают в BIOS. В данном посте приведены самые распространённые методы блокировки USB портов. Пример включения буду приводить на Windows 7, на XP все идентично. Первым делом узнаем как отключены usb порты, а для этого делаем по инструкции ниже:

Внимание! Требуются права Администратора.

1. Вставьте рабочую флешку в USB разъем (на компьютере вставляем сзади, на случай отключения портов на передней крышке)

2. Откройте Компьютер .

3. В открывшемся окне Компьютер смотрим как отображается наша флешка, если нет тогда делаем по Варианту 2 . Если флешка отображается тогда пробуем ее открыть.

При возникновении ошибки Отказано в доступе делаем по варианту 1 .

Вариант 1:

В окне Выполнить (клавиши WIN+R) открыть редактор групповых политик gpedit.msc

Откроется окно редактора групповых политик, в котором необходимо открыть раздел Политика “Локальный компьютер” –> Конфигурация компьютера –>Административные шаблоны –>Система –> Доступ к съемным запоминающим устройствам.

В правой колонке обращаем внимание на Состояние Включена (на примере включена политика Съемные диски: Запретить чтение), двойным нажатием кликаем по включённой политике.

В открывшемся окне Отключаем или ставим на Не задано .

Вариант 2:

1) Делаем следующие: нажимаем правой кнопкой мыши на Компьютер , в открывшемся окне нажимаем С войства .

2) В запущенном окне нажимаем на Диспетчер устройств .

3) В запустившемся Диспетчер устройств кликаем на вкладку Контроллеры USB .

4) Тут мы применим заготовленную флешку, вставляем ее в рабочий USB порт. Если порты отключены в реестре произойдет следующее:

Теперь включаем USB порты, для этого открываем редактор реестра ( "Пуск"->"Все программы"->"Стандартные"->"Выполнить" или сочетанием клавиш Windows+R )в запустившемся окне вводим regedit и нажимаем ОК .

Теперь двигаемся по ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\USBSTOR напротив значения Start мы должны увидеть значение 4.

Затем двойным нажатием по Start меняем значение на 3 и жмем ОК .
3 включить USB
4 отключить USB

Читайте также:

  
• В положении lock невозможны запись информации удаление файлов а также операция
  
• Чем открыть файл ild
  
• Управление dead space xbox
  
• Как сделать переходник с hdmi на usb
  
• Irbis nb31 восстановить ос