Spor enheder, der er blevet tilsluttet i Windows

Spor enheder, der er blevet tilsluttet i Windows
Indholdsfortegnelse

Når vi foretager undersøgelser eller en revision på en computer, er et af de vigtige aspekter vide, om der er tilsluttet uautoriserede enheder, eller hvilke enheder der er blevet brugt, f.eks. pennedrev, printere eller andre enheder. For at opdage disse enheder i Windows bruger vi Windows -registreringsdatabasen, der gemmer disse oplysninger, og giver os mulighed for at bestemme, hvilke enheder der var tilsluttet, oplysninger om hvem, hvad, hvor og hvordan aktiviteten blev udført på den computer, som vi reviderer eller også hvis vi har et diskbillede som dem, vi så i Analyser diskbillede med FTK Imager -vejledning.

I denne tutorial ser vi hvor og hvordan man finder historikken for tilsluttede enheder ved hjælp af Windows -registreringsdatabasen. Hver gang vi tilslutter en enhed via USB eller et andet stik, gemmes denne begivenhed i Windows -registreringsdatabasen, derfor efterlader den et spor, og vi vil fokusere på søgningen efter lagerenheder i registreringsdatabasen.

Registreringsdatabasen i et Windows -system varierer lidt fra en version til en anden, men hvis vi undersøger essensen, er det det samme med næsten alle versioner af Windows og andre operativsystemer. Til denne vejledning bruger vi Windows 7, generelt er trinene ens for enhver version.

Det første trin vil være åbn RegeditVi kan gøre det fra Windows -menuen med indstillingen Kør eller i søgefeltet skriver vi redegit.

Så trykker vi okay og Windows Registry Editor åbnes, hvor vi vil se registreringsnøglerne er mapper i et nøgletræ, de indeholder ud over de værdier, der er data, hver nøgle kan indeholde undernøgler.

Nøgler indholdHKEY_CLASSES_ROOTDenne nøgle indeholder oplysninger om registrerede applikationer, f.eks. Filforeninger, for at bestemme med hvilken applikation denne udvidelse bruges som standardeksempel * .html som standard Firefox, * .txt som standard Wordpad, der kan vi ændre softwaren, som den åbner eller kører som standard for hver filtypenavn.
HKEY_USERSDen indeholder oplysninger, der svarer til profilen af ​​brugere, der er logget ind eller aktive på computeren, systemet er også en bruger (standard), selvom det fungerer automatisk, efterlader det også spor.
HKEY_LOCAL_MACHINEDen indeholder oplysninger om hardware installeret i computeren, de fleste oplysninger gemmes i RAM -hukommelsen og gemmer kun nogle spor i registreringsdatabasen, derfor er oplysningerne i denne nøgle flygtige og genopbygges hver gang computeren genstartes.
HKEY_CURRENT_USERDenne nøgle gemmer oplysninger og indstillinger for den bruger, der har logget ind, det vil sige den aktuelle bruger.

Til finde spor af USB -lagerenheder, skal vi søge i registreringsdatabasen i følgende nøgle: 

 HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USB
De to undernøgler ControlSet001, ControlSet002 det er en kopi, der er lavet, når computeren opnår en vellykket opstart, dette kontrolsæt er det, der gør det muligt at bestemme, hvilken der var den sidste boot uden problemer eller den sidste kendte gode konfiguration. I denne nøgle finder vi tegn på enhver USB -lagerenhed, der er blevet forbundet til dette system. For eksempel inden for USB -nøglen finder vi flere undernøgler til enheder, og vi kan se, at en af ​​dem svarer til en Motorola XT1040 mobiltelefon, der har været tilsluttet på et tidspunkt via USB.

FORSTØRRE

Ved at analysere en anden undernøgle ser vi, at en Lexmark X1100 Series -scanner er blevet tilsluttet, denne enhed er en multifunktionsprinter, men registreringsdatabasen angiver, at usbscan -tjenesten blev brugt og ikke usbprint.

FORSTØRRE

Med USB -nøglen ser vi en historik over enheder, der ikke længere er tilsluttet. For at se eller fange de enheder, der er tilsluttet, skal vi se på undernøglen: 

 HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR

FORSTØRRE

I dette tilfælde kan vi se et Kingston -pendrive tilsluttet computeren, hvis enheden fjernes, forbliver undernøglen registreret i USBSTOR, indtil computeren slukkes, men en rekord forbliver i USB -undernøglen.
Søg efter enheder, der er monteret på systemet.

Hvis en bruger bruger en hardwareenhed, der skal monteres, f.eks. Ekstern DVD -afspiller, ekstern harddisk, flash -hukommelse, efterlader registreringsdatabasen et spor af den monterede enhed. Disse oplysninger gemmes i undernøglen: 

 HKEY_LOCAL_MACHINE \ System \ MountedDevices
Vi kan se nedenfor en liste over alle de enheder, der er monteret eller monteret på computeren, C: D: og F: -drevene. Hvis vi dobbeltklikker på drev D, vil vi se, at det er en cd -rom tilsluttet fra VirtualBox, og hvis vi gør det samme med drev F, vil vi se, at det er kingston -pendrive, der var tilsluttet på et tidspunkt.

Hvis vi ikke kan afgøre, hvilken enhed det er, kan vi relatere enhederne i MountDevices -nøglen og se på nøglen i binær og derefter det unikke id, vi leder efter den i de andre underhuler. Et værktøj, vi kan bruge, er USBViewer, som er et simpelt og bærbart værktøj, der giver mulighed for at se oplysninger om de USB -enheder, der i øjeblikket og tidligere er blevet tilsluttet computeren.

FORSTØRRE

Windows -registreringsdatabasen giver mulighed for at føre en historik over begivenheder om, hvad der skete i et Windows -system ved hjælp af forskellige teknikker og procedurer, vi kan rekonstruere fakta og bestemme de elementer, der blev brugt.

Du vil bidrage til udviklingen af ​​hjemmesiden, at dele siden med dine venner

wave wave wave wave wave

Populære Indlæg

wave
1
post-title
Sådan Dual Boot SteamOS Linux og Windows 10
2
post-title
Tricks til at spare og forlænge batterilevetiden på Android
3
post-title
Kommandoer, du bør vide for at administrere Debian
4
post-title
Sådan fabriksindstilles Xiaomi Mi 8 Pro
5
post-title
Introduktion til statistisk programmering med R

Anbefalet

wave
- Sponsored Ad -

Redaktørens Valg

wave
- Sponsored Ad -