如圖:
通過檢測登錄檔裡的 "enum\\usbstor",已經可以獲取u盤的型號,但是如何檢測到u盤的插入時間呢?
參考:extracting usb artifacts from windows 7
how to analyze usb device history in windows
windows 7 registry forensics: part 5
windows 7 registry forensics: part 6
最重點開啟登錄檔,在hklm/system/currentcontrolset\enum\usb\下面找到相應的鍵,然後點右鍵匯出,打出的檔案個是選擇txt的,開啟後就能看到最後寫入時間了。具體怎麼找裝置,你可以看看文章,也可以參考下面的檔案,裡面有不同的作業系統登錄檔相關資訊所在的鍵的位置。
usb drive enclosure-guide
文章裡面也提到了usbdeview,我想你用的應該就是這個軟體吧。
讀取登錄檔最後寫入時間,如果不想自己寫**,就用下面鏈結的類,直接datetime dtime = regquery.lastwritetime("登錄檔鍵");就可以了。
class for regqueryinfokey pinvoke
根據上面參考的幾篇文章,usb裝置第一次接入的時間是在setupapi log (系統驅動盤\windows\inf\setupapi.dev.log for windows vista/7/8)(系統驅動盤\windows\setupapi.log for windows xp)這個檔案裡面。可以通過裝置的序列號來搜尋。
有篇文章提到這個檔案裡面的時間是電腦本地時間,不是utc時間,所以如果要比較的話,需要轉換一下。
Ubuntu 如何讀取U盤內容
vmware版本為15,ubuntu版本18.04 之前用vmware14,插入u盤後不能掛載,網上查詢後為軟體bug。步驟 插入優盤,開啟終端 輸入以下命令 檢視磁碟名 sudo fdisk l 檢視u盤在ubuntu裡面的磁碟名稱這裡為 dev sdb1,檔案型別fat32 掛載u盤 sudo ...
c u盤使用記錄 C 如何讀取U盤中的檔案啊
找到了 當把u盤放插入,然後程式自動將u盤的內容複製到本地硬碟 using system using system.collections.generic using using system.data using system.drawing using system.text using sys...
C 監控U盤插入與拔出
using system using system.collections.generic using system.componentmodel using system.data using system.drawing using system.text using system.window...