跟踪USB存储:分析USB存储设备所产生的Windows历史记录
中国兵器深度保密检查工具用户手册2.1
中国兵器深度保密检查工具用户手册中国兵器工业信息中心2008年8月8日目录一、简介 (1)二、一键化检查 (4)三、专业化设置 (7)3.1 设置检查基本信息 (7)3.2 设置报警信息关键字 (7)3.3 设置上网强力搜查参数 (11)3.4 设置检查项 (13)3.4.1 系统信息 (13)3.4.2 安装软件 (14)3.4.3 硬件信息 (15)3.4.4 系统服务 (15)3.4.5 系统补丁 (15)3.4.6 系统关键策略 (16)3.4.7 进程信息 (16)3.4.8 系统日志 (17)3.4.9 打开端口 (17)3.4.10 自启动项目 (18)3.4.11 共享目录 (18)3.4.12 打印机 (18)3.4.13 网上邻居 (19)3.4.14 IE::TempFile (19)3.4.15 IE::Cookie (19)3.4.16 IE::TypedUrl (19)3.4.17 Explorer::Recent (19)3.4.18 Explorer::RunMRU (20)3.4.19 Office::Recent (20)3.4.20 文件夹视图 (20)3.4.21 USB存储设备 (21)3.4.22 USB设备 (21)3.4.23 系统缓存图标 (22)3.4.24 缓存应用程序 (22)四、智能化报表 (23)五、深度USB检查工具 (24)5.1 USB存储设备检查 (25)5.2 USB设备检查 (25)5.3 驱动设备安装日志检查 (26)六、上网记录强力搜索 (27)七、关键字搜索 (29)八、磁盘低格检查 (31)九、磁盘内容查看 (32)十、标密软件管理系统 (33)一、简介“中国兵器深度保密检查工具”由中国兵器工业集团公司保密办和中国兵器工业信息中心联合研制。
“中国兵器深度保密检查工具”可以检查信息系统(涉密与非密)的6大类24项检查内容。
电脑如何查看使用记录
电脑如何查看使用记录电脑的使用记录是指电脑记录下的用户在电脑上的操作记录。
了解电脑使用记录可以帮助我们更好地管理电脑,了解自己的使用习惯,还可以帮助我们发现电脑中可能存在的安全风险。
电脑如何查看使用记录呢?Windows系统查看使用记录Windows系统提供了两种方式,让我们可以查看电脑的使用记录。
使用事件查看器Windows系统中有一个叫做“事件查看器”的工具,可以查看电脑上的所有事件记录,包括安全事件、系统事件、应用程序事件等等。
操作如下:1.在Windows的“开始菜单”中,找到“Windows管理工具”文件夹,展开文件夹后点击“事件查看器”。
2.在事件查看器中,我们可以通过“自定义视图”创建一个自定义筛选条件,以便筛选感兴趣的记录。
使用“历史记录”Windows系统还提供了“文件资源管理器”的“历史记录”功能。
这个功能可以记录我们飞快访问过的文件、文件夹和位置,以便我们在之后快速打开这些位置。
我们可以通过以下步骤查看历史记录:1.打开Windows资源管理器。
2.在“左部窗格”中找到“历史记录”选项,并点击它。
3.在历史记录中,我们可以看到我们过去访问过的文件、文件夹和位置。
macOS系统查看使用记录macOS系统和Windows系统一样,也提供了两种方式可供我们查看使用记录。
使用“活动监视器”在macOS系统中,“活动监视器”可以让我们查看系统的运行情况和进程状态,也可以让我们查看我们的电脑使用记录。
我们可以按以下步骤查看:1.打开“应用程序”菜单。
2.在“实用工具”文件夹中,找到并点击“活动监视器”。
3.在“CPU”、“内存”、“磁盘”和“网络”标签页,我们可以查看系统使用情况和进程状态。
在“CPU”标签页,我们还可以查看CPU使用的历史记录。
使用“终端”命令“终端”是macOS系统的一个命令行工具,我们可以通过一些命令查看电脑使用记录。
我们可以按照以下步骤操作:1.打开“应用程序”菜单。
windows7活动历史记录
windows7活动历史记录
1. 查看活动历史记录:在 Windows 7 中,你可以通过以下步骤查看活动历史记录:
- 点击“开始”菜单,然后选择“控制面板”。
- 在控制面板中,选择“性能和维护”,然后点击“管理工具”。
- 在管理工具中,选择“事件查看器”。
- 在事件查看器中,你可以查看不同类型的事件日志,包括应用程序、安全性、系统等。
2. 清除活动历史记录:如果你希望清除活动历史记录,可以按照以下步骤操作:
- 打开“我的电脑”或“计算机”。
- 右键点击系统盘(通常是 C 盘),然后选择“属性”。
- 在属性窗口中,点击“磁盘清理”。
- 在磁盘清理选项中,选择“清理系统文件”。
- 系统会计算可以释放的空间,然后列出可以清理的文件类型,包括“临时文件”、“回收站”、“缩略图”等。
勾选你想要清理的文件类型,然后点击“确定”。
- 系统会提示你是否确认要清理选定的文件,点击“是”开始清理。
需要注意的是,清除活动历史记录可能会影响某些应用程序的功能,例如已保存的浏览器历史记录、密码等。
在清理之前,请确保你已经备份了重要的数据或设置。
此外,Windows 7 已于 2020 年 1 月 14 日停止官方支持,建议你考虑升级到较新的操作系统,以获得更好的安全性和功能支持。
如何清除USB移动存储设备使用记录
如何清除USB移动存储设备使用记录step1: 打开注册表,打开方法:点击“开始\运行”,在“运行”对话框中输入命令:regedt32ste2: 删除注册表中以下目录的items(如果无法删除,需要修改权限:选中目录USBSTOR,点击菜单命令“安全\权限”,然后在弹出的权限对话框中选择“完全控制”选项)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTO RHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002(有的系统是003)\Enum\USBSTORHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\US BSTORstep3:删除注册表中以下目录的itemsHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\US Bstep4:运行软件USBLOG.EXE检查USB设备的使用记录,如果还有不完全的记录,则进一步处理:打开注册表,打开方法:点“开始\运行”,在“运行”对话框中输入命令:regedit然后在注册表中搜索所显示的不完全记录中的明显关键字,找到后将相应的记录删除一般每条记录存在于以下两处地方:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Dev iceClasses\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Dev iceClasses\step5:最后用USBLog.exe(下载:/Files/saga/USBlog.rar )检查一遍,如果生成的文件中没有显示记录就OK了。
存储介质信息消除工具
针对NTFS分区系列格式下文件存储,一般分以下几 个部分存放,文件名称索引、记录数据流、数据运 行。针对文件的上属性列表,采用特别的数据算法, 对此数据做统一清除,以达到任何软硬件设备无法 恢复。
4.2.2 粉碎目录 整体目录粉碎,根据不同的分区格式需要对目录下的文件、 子目录进行递归清除,达到目录下的数据及目录名称本身 在磁介质不存在任何数据信息,形成彻底的数据粉碎。
4.2.4 粉碎整个磁介质分区 对整个磁介质分区从第0扇区开始,到最后一个结束 扇区为止,根据物理磁盘读写技术,对所清除的扇区,簇, 进行逐一的清除,使之整个磁盘分区同时被规定的数据擦 写算法,清除达9次,清除后的磁介质分区无法被任何软 硬件所恢复。
4.2.5 一键清除上网记录 首先清除常规上网记录包括收藏夹、近文件夹、临时 文件、cookies、历史记录,第二步清除用户先前通过系 统命令删除的上网记录,第三步清除重新安装系统后,遗 留在硬盘上的用户不可见的上网记录
22425一键清除上网记录首先清除常规上网记录包括收藏夹近文件夹临时文件cookies历史记录第二步清除用户先前通过系统命令删除的上网记录第三步清除重新安装系统后遗留在硬盘上的用户不可见的上网记录23426选择性清除usb插拔记录首先对操作系统中正常存在的usb插拔记录进行查询并将记录按存储与非存储进行分类
3.2.3. 单个及多个磁盘空间的清除
存储介质信息消除工具可以一次实现一个及多个磁盘 空间的清除,并且选择的磁盘分区格式可以不同的,实 现对磁盘空间残留数据的清除
3.2.4. 单个及多个磁盘的清除
存储介质信息消除工具可以一次实现一个及多个磁盘 的清除,并且选择的磁盘分区格式可以不同的,实现对磁 盘分区所有数据的清除。
3.2.1. 单个文件及多个文件清除
IP guard终端安全管理系统
IP-guard将为企业解决以下问题:
保护机密商业资料详细记录文件操作(打开、修改、删除等)记录文件操作时的屏幕限制使用移 动存储设备(U盘授权)防止滥用公司电脑应用程序的统计与控制页浏览的统计与控制络流量的 统计与控制邮件监控评估员工工作态度详细记录员工使用应用程序详细记录员工浏览页员工使用 电脑情况图表分析方便的电脑资产管理自动获取电脑硬件设备清单远程信息查看、操作、控制驱 动、USB、通讯类设备控制漏洞检查软件分发完善丰富的报表功能自动生成、发送邮件报告定时 记录电脑屏幕重要屏幕画面的导出
02
二:IP-guard核心 价值
一、IP-guard功能模块
IP-guard基本系统由三个不同的模块组成:代理模块、服务器模块和控制台模块。 代理模块的基本功能包括:
-定时采集数据并保存 -定时将采集的数据传送到服务器 -响应控制台发出的监视请求,传送实时的屏幕快照信息 -根据系统的设置控制计算机和用户的操作 服务器模块的基本功能包括: -定时搜索络,管理所有代理模块计算机,
并向代理模块传递相关的设置和策略 -收集代理模块的采集的数据,并将其保存到数据库中 -备份历史资料 -提供方便灵活的历史记录管理、查看、归档、搜索等功能
控制台模块的基本功能包括: -实时获取受监视计算机的屏幕快照等信息 -对单个或对一组目标机进行实时监视,并可以轮流显示多个目标机的屏幕快照 -设置监视和控制规则 -查看并播放记录在服务器端的历史记录 -查询特定机器特定时刻的历史记录
原句:ipguard具备数据加密、络管理、络监控、信息安全多项可选择的功能,是企业和政府管 理络的高可伸缩性的解决方案。
修改后:IP-guard具备数据加密、络管理、络监控、信息安全等多项可选功能,是企业与政府 管理络的极具伸缩性的解决方案。
绿霸内网安全监控管理系统SECGUARD功能一览表
只能控制一段时间内网卡 可以限制客户端的流量,可以指定网络地址 接收流量超过一定数值, 、端口范围、流量方向来限制客户端的流量 就禁止其网络连接 可以按时间、计算机(组)/用户(组)、 地址明细、端口明细、地址类别、端口类别 查看并统计网络流量大小情况 只能统计网卡流量
数据库 系统构架
SQL2000、SQL2005、 ACESS windows98/ME/2000/2003/x p/win7 windows2000/2003/xp/win 7
√ √
只能监控QQ、MSN、 SKYPE、TAOBAO4款
邮件记录
QQ\MSN等通讯信息记录 报警信息统计查询 客户端在线时间 用户操作日志的记录(管理员、审计员的 操作) 网络连接恢复后审计自动回传
√ √ √ √ √ √ √ √ √ √
向客户机发送实时讯息 远程关闭/注销/重启客户端 远程锁定客户机 远程控制 远程协助
客户端支持系统 服务器端系统要求
√ √ √ √ √ √ √ √ √ √ √
自动刷新计算机ip地址和名称 进程监控 共享管理
非法主机接入及非法外连控制 支持监控多网段客户机 支持监控外网客户机 禁止使用设备管理器 软驱、光驱、磁带机 USB端口开/关 USB存储设备和其余设备的区别管理 设置只能使用指定的USB存储设备
可以控制非法计算机接入网内,也可以控制 网内计算机非法外连 可以添加多个网段的客户端范围 可以监控到外网能连接到服务器的客户端信 息 可以按某台、某组或者这个网络禁止打开及 使用设备管理器 可以按某台、某组或者这个网络禁止使用软 驱、光驱、磁带机 可以按某台、某组或者这个网络禁止使用 USB端口 可以按某台、某组或者这个网络禁止使用 USB存储设备 可以按某台、某组或者这个网络设置只能使 用经过控制台认证过的USB存储设备 可以按某台、某组或者这个网络设置禁用的 USB设备只能读取数据而不能写入数据 可以按某台、某组或者这个网络禁止打印功 能 可以按某台、某组或者这个网络禁用调制解 调器,同时可以禁用3G上网卡 可以按某台、某组或者这个网络禁用串口、 并口、1394总线、红外线通讯设备、PCMCIA 卡接口等 可以按某台、某组或者这个网络禁止使用任 何新设备 可以对客户端在线离线时设置不同的设备端 口策略
敏感审计工具使用介绍(保密检查与清理)
能邦敏感审查工具及具体应用介绍南京能邦信息技术有限公司一、数据泄密途径分析1、内外网互联内网电脑非法接入互联网的几种情况:1.1、内外网网线互接、互换。
内网和外网中的连接设备(交换机)线路混插,内外网到终端的接口互换,没有完全的内外网物理隔离;1.2、内网电脑有无线上网设备内网中有些终端带有无线上网设备,如计算机的无线网卡,这样内网就可以通过无线直接连接到互联网;1.3、内网电脑直接带出访问互联网内网可移动电脑在没有管理授权的情况下直接带出内网环境,从而访问互联网;1.4、内网中可以被外来电脑接入,从而造成间接泄密内网环境中可以接受外来电脑的直接接入,外来任何电脑直接接入网线在没有授权的情况下就可以直接访问内网系统,从而造成内网数据的间接外泄。
2、移动设备使用移动设备主要包括:U盘、移动硬盘、MP3/MP4、数码相机、手机等带存储的数码设备。
移动设备造成泄密的几种情况:2.1、外网移动设备非法插入内网计算机;在外网中使用的移动带存储的设备(U盘、移动硬盘等)拿到内网电脑中使用,造成内网数据通过移动存储设备外泄的可能性大大增加;2.2、内网专用移动设备在外网电脑上使用;固定的移动设备只能在内网电脑上使用,如果内网专用的存储设备私自拿到外网中使用,可直接导致内网数据的泄密;2.3、个人所属移动设备在单位电脑上使用;很多办公用户都有私人的U盘、数码相机等,这些设备自带存储功能,如拿到单位电脑上使用,可导致信息数据的外流;3、文档泄密各单位均有保密管理规定,并对信息内容所属密级有规定。
下面是文档泄密的几种情况:3.1、外网电脑上存储了涉密文档信息;外网电脑硬盘上不应该含有任何单位规定的涉密文档信息,3.2、外网专用存储介质上存储有涉密文档信息;各单位定义的外网专用存储介质(U盘、移动硬盘等)上不应存储有任何内网涉密的文档;4、隐藏信息泄密硬盘上面虽然从文件列表方面看不出有涉密文档,但可能计算机硬盘上面曾经存储过涉密文件,这些文件被删除了。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
跟踪USB存储:分析USB存储设备所产生的Windows历史记录关键词:USB存储Windows历史记录设备ID即插即用管理物理设备对象摘要当一个USB存储设备(比如一个U盘)连接到Windows系统时,系统就会创建一些标识符。
这些标识符,也称作历史记录,在系统关闭时仍然存在。
在许多情况下,这些历史记录可能被用来识别曾经连接到Windows系统的特定设备,以对存在的问题进行取证。
2005年爱思唯尔股份有限公司出版引言通用串行总线(USB)是允许将多种设备连接到计算机系统上的一种机制。
随着各种各样的设备通过USB连接到一台计算机上已经变得很普遍,本文仅限于那些可选择的、可移动的存储介质。
这不仅包括标准的“U盘”,还包括数码相机、个人媒体播放器以及伪装了的存储设备,比如一把包括数字存储空间和其它特征的瑞士小刀。
这种存储介质为用户快速交换文件提供了前所未有的便利。
近几年这种设备的价格疯狂下跌,但是其存储密度却有很大的提高。
这种存储设备在给用户带来方便的同时,也带来了不可忽视的安全风险,特别是在企业环境中。
这种容量大体积小的存储设备为下载和窃取大量隐私和敏感的信息提供了掩护。
一张标准的3.5英寸软盘虽然很容易藏在衣服的口袋里,但它只能存储1.44MB的数据,而一个拥有1GB甚至更大存储空间的U盘可以很容易的藏起来,并且可以容得下整个数据库。
许多数码相机在Windows系统中被用作标准的存储媒体,并且标有盘符,还可以像U盘一样使用。
为了提供从一个系统中转移数据的方法,USB存储设备可以将外部代码输入到另外的受保护的系统或者网络。
在限制了像防火墙和入侵检测系统等边界防御程序效率的情况下,终端用户如果使用了未经检查或未被监控的USB存储设备时,恶意的代码可能会在无意中或以其它方式引入。
当一个USB存储设备连接到一个Windows系统时,这个系统上的驱动器会收集这个设备的信息,然后它会利用这些信息在这个系统上建立一个独立的历史记录。
这个信息被固存在这个系统中,而且大多数情况下在其它的Windows系统下这个信息也是一样的。
这些历史记录可以延续连接在这个系统上的USB存储设备的使用时间线,还可以证明这个设备曾连接到其它的Windows系统。
这个信息可以用来进一步进行计算机取证调查并且记录下来。
这篇文章讨论的样例操作系统是Windows XP,并且大部分的信息也适用于Windows2000和2003。
论述注册表记录当一个存储设备通过USB接口连接到一个Windows系统时,操作系统就会发现这个新硬件的附加信息,并且相关的驱动器就会寻求这个设备的确切描述符[1],以确定设备的制造商、版本号、设备种类以及其它信息。
如果USB集线器驱动发现一个新的USB设备连接到这个系统,系统就会试图恢复这个设备的确切描述符。
基于从这个设备上恢复的描述符,Windows就会按照如下格式创建设备实例标识符(设备ID)[2]:USB\VID_v(4)&PID_d(4)&REV_r(4)设备ID中所呈现出的数值直接取自设备描述符[3]。
v(4)是设备描述符中idVendor域的一个四基于USB 接口的HID 设备接口设计·论文翻译2位供应商代码,d(4)是idProduct 域中的一个四位产品代码。
r(4)是一个四位的版本代码。
Windows 也会从设备描述中提取类别码(bDeviceClass 域)、子类别码(bDeviceSublass 域)和协议码(bDeviceProtocol 域),以便列出兼容的设备描述符(兼容ID )清单。
如果想看这种描述符的例子,可以在USB 存储设备连接在系统上时打开设备管理器。
在通用串行总线控制器下选择对应的设备(比如USB MassStorage Device ),然后右击并从下拉菜单中选择属性。
再选择详细信息标签,然后从下拉单选择设备范例ID 、硬件ID 或者兼容ID 。
相应的值就会显示在详细信息这一栏的文本框中,如图1所示。
即插即用管理器就会访问注册表以定位即插即用设备的inf 文件。
这个注册表键是:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion答案就是“DevicePath ”的值。
这个值的数据类型为REG_EXPAND_SZ ,意思就是这个数据可以有多个路径值。
在默认情况下,这个路径指向Windows 系统目录的INF 文件夹(也就是%SYSTEMROOT%\Inf )。
即插即用管理器会根据设备范例ID 和兼容ID 寻找设备路径注册表键中所列出的相应驱动的路径,然后在0到0xFFFF 之间对发现的驱动进行排序[4]。
序号最低的驱动就会被安装,即装载。
usbstor.inf 文件明确地列出了操作系统所支持的设备ID 。
如果从设备描述符中所获取的描述符与usbstor.inf 文件中的任何一个相匹配,操作系统就会装载usbstor.sys 驱动[5]。
一旦驱动被装载,系统就会为每一个设备逻辑单元创建一个新的物理设备对象,即PDO 。
PDO 的格式如下:USBSTOR\v(8)p(16)r(4)在PDO 中,v(8)是一个8位字符的供应商标识符,p(16)是一个16位字符的产品标识符,r(4)是一个4位字符的版本级别。
通过设备管理器查看设备ID ,就会发现有另外的12位附加在设备ID 后面(如上所述)。
这是设备的序列号。
设备的设备描述符包含一个叫做iSerialNumber 的值,这就是含有设备序列号的字符串的索引。
如果iSerialNumber 的值是0x00,那么这个设备就没有序列号;否则它的值就是可以被找到的代表设备序列号的字符串的索引[6]。
这个序列号对这个设备来说是独有的,并且是用于识别系统中设备的独特方法。
这个序列号在其它的Windows系统中也是识别设备的独特方法。
注意图1设备属性的详细信息标签中显示设备范例ID图2通过UVCView 查看到的序列号跟踪USB存储:分析USB存储器所产生的Windows历史记录到对于每一个USB的详细描述,序列号并不是必须要含有的这一点很重要。
关于这方面的其它问题将在说明部分作深入探讨。
用USB连接的存储设备的序列号可以用UVCView[7]工具查看,这个工具可以从MS得到。
图2显示了通过UVCView查到的一个用USB连接的存储设备的序列号。
没有序列号的设备,将会在第二个“&”字符后面赋上12位字符。
详细说明如何创建这个标识符的文件是无法从供应商那里获得的,但是实验和经验表明倒数第二个字符也是“&”,并且最后的值与设备所连接的USB端口对应。
设备范例ID[8]是由即插即用管理器生成的,并且会随着同一个硬件所插入的同一个USB集线器端口的不同而变化。
一旦设备连接上并且用户已经访问了这个存储设备,连接的痕迹,即历史记录就会在注册表和文件系统中表现出来。
我们关注的第一个注册表键就是:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USB在这个注册表键下面还有一系列的子键,每一个都和之前介绍过的设备ID有相似的格式(即USB\VID_v(4)&PID_d(4)&REV_r(4))。
这些设备ID的每一个子键都有一个或者更多的子键,这些都是曾连接到过这个系统的设备的范例ID。
我们关注的第二个注册表键是:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USBStor在HKLM\..\Enum\USBStor键之下的子键和USB键之下的设备ID子键有相似的格式,但是这种十六进制的值可以被人们可以读懂的数值替换。
一般情况下,在USBStor键下将会有更少的子键,因为它具体到USB大容量存储设备,而USB键是为用USB连接的设备而设的。
就像USB子键一样,在USBStor键下的设备ID子键之下也有一个甚至更多的范例ID子键,它代表了每一个曾连接到这个系统的设备。
图3给出了对应的注册表键的样例,显示了同一个设备的USB和USBStor键的入口。
注册表有一个被称作“最后写入”时间并与它们相关的值。
这个值和最后修改时间相近,并和文件有关,因为它以某种方式表示了注册表键最后一次修改的时间。
当为了各种各样的值而查询注册表键时,根据与USB存储设备有关的用户行为,这个键的最后修改时间可以用来记录部分时间线。
图3标准USB存储设备的注册表入口样例3基于USB 接口的HID 设备接口设计·论文翻译4别外,带有驱动盘符的USB 存储设备可以通过查看如下注册表键下的注册表值看到。
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\为了确定这个USB 存储设备被分配了哪一个驱动盘符,我们必须从USBSTOR 下的设备注册表键的“ParentIDPrefix ”中取出值。
我们将利用图3中设备的值“8&2713a8a1&0”作为一个例子。
注册表键HKLM\System\MountedDevices (见图4)维护着安装管理器永久的名称数据库[9]。
这个键下的值由一系列不同的卷名称(以“\??\Volume{GUID}\”的格式存在)和驱动盘符(用“\DosDevices\C:”格式表示)组成。
安装点也可能包含在内(用如下格式表示:“\DosDevices\drive letter:\mountpoint ”)。
每一个这种符号链接都伴有特有的卷标识符(不要和特有的卷名称混淆)。
这种特有的ID 允许系统识别一些表示同一个卷的符号链接名。
这些特有的ID 包含了ParentIDPrefix 的值。
所有这些子键的值都以二进制的形式存储。
这个值(二进制数据,即REG_BINARY 数据类型)的小数点后35位是与具体子键有关的存储设备的ParentIDPrefix 值,如图5的屏幕截图所示。
这个信息可以用来将具体的USB 存储设备映射到分配给它的驱动盘符。
图6举例说明了贯穿USBStor 键并列举设备的Perl 脚本的输出。
Perl 脚本贯穿于USBStor 注册表键并且列举出每一个和设备ID 相一致的子键。
这个脚本显示了带有最后写入时间的设备ID ,就是键名右边括号中所显示的内容。
这个脚本对设备ID 键之下的每一个范例ID 键名做出相同的处理,另外,还显示出“DeviceDescr ”的值。
在这些现象的背后,图4安装设备的注册表键图5高亮显示ParentIDPrefix 的安装设备数据跟踪USB 存储:分析USB 存储器所产生的Windows 历史记录5这个脚本从每一个范例ID 子键中收集ParentIDPrefix 的数据。