Как найти флешки в реестре

Авг 27, 2018 23:26

     Говоря о проблеме USB-накопителей в контексте судебной экспертизы, мы обращаемся к тем элементам, которые остаются после определенной активности, так называемым артефактам. Когда вы посещаете web-сайт с помощью Internet Explorer, в истории web-браузера остается артефакт (cookie), свидетельствующий о том, что вы посещали данный сайт. Когда вы входите в систему, в системном журнале безопасности остается запись – еще один артефакт. При анализе системы на предмет взлома или хищения данных именно эти артефакты являются ключами, которые помогают разобраться в том, что же на самом деле произошло. Практически все действия пользователя в системе оставляют после себя разного рода артефакты. Это касается и USB накопителей. Но встает вопрос о том, какие артефакты важны, и где их найти. 

Важность тех или иных артефактов наличия USB накопителя будет в основном зависеть от обстоятельств вашего расследования. Возможно, вам нужно посмотреть перечень всех USB накопителей, подключавшихся к зараженной машине, чтобы выяснить, куда вредоносной код мог попасть после этого. Возможно, вы подозреваете пользователя в несанкционированном копировании данных, и вам нужно определить время, в которое личные накопители таких пользователей подключались к системе. Независимо от цели вашего расследования есть несколько ключевых мест в системе Windows, в которых такая информация может быть найдена. 

Будем исходить из того что наиболее важные артефакты для специалиста это:
· тип сьемного накопителя, его серийный номер;
· дата и время его установки и изьятия из компьютера;
· буква диска под которой фигурировал накопитель в ОС;
· аккаунт пользователя системы под каким фигурировал накопитель в ОС.

Вначале перескажу метод поиска, который был опубликован компанией Red Line Software для Windows 7.

 Извлечение USB артефактов вручную.

Основным способом обнаружения артефактов USB накопителей является переход в место хранения данной информации вручную. Рассмотрим такие места в Windows 7. 

Проще всего найти информацию, содержащую список всех USB накопителей, которые подключались к системе. Эту информацию можно в готовом виде найти в системном реестре Windows в: HKLMSYSTEMCurrentControlSetEnumUSBSTOR. В этом разделе вы найдете ключ каждого накопителя, который подключался к вашей системе, а также информацию о его производителе (Vendor), номере продукта (Product Number), номере версии (Version Number), и серийном номере (Serial Number), если применимо. 

После получения списка всех накопителей вам нужно выявить их принадлежность к пользователям. Это вполне возможно, но для этого потребуется выполнить дополнительные шаги. В реестре сначала нужно перейти в HKLMSYSTEMMountedDevices. В этой области вы можете выполнить поиск серийного номера подозрительного устройства. Когда номер найден, он поможет вам определить GUID, связанного с этим устройством. 

Когда GUID устройства у вас под рукой, нужно сконцентрироваться на личных профилях пользователей машины. В папке каждого пользовательского профиля (C:Users) имеется файл NTUSER.DAT. К этому файлу предоставляется доступ для HKEY_CURRENT_USER всякий раз при входе его владельца в систему. В результате, этот файл можно открыть в редакторе системного реестра с правами администратора. Чтобы связать пользователя с определенным устройством, нужно перейти в следующий каталог в NTUSER.DAT разделе: SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2. Здесь вы можете найти GUID нужного устройства. Если он найден, значит, пользователь был в системе, когда устройство было к ней подключено. Следует помнить, что этот поиск необходимо выполнять для каждого пользователя системы для установления такой взаимосвязи. 

Одним из наиболее важных аспектов судебного расследования являются временные рамки, в течение которых совершалось расследуемое событие. Поэтому очень важно знать, когда подозрительное USB устройство было подключено или отключено от системы. 

Определение времени, когда накопитель был впервые подключен к системе, является вполне простой задачей при условии, что у вас есть серийный номер этого устройства (получение этой информации описано выше). При наличии этой информации найдите файл C:Windowsinfsetupapi.dev.log и в нем найдите серийный номер этого устройства, в результате вы найдете время, когда устройство было подключено впервые: ищем строки типа на подключения ump: Creating Install Process: DrvInst.exe 16:10:07.690 и отключения ump: Server install process exited with code 0x00000000 16:10:12.573 

С другой стороны, не менее важно определить время последнего подключения устройства к системе. Для получения этой информации нужно снова обратиться к реестру в HKLM/System/CurrentControlSetEnumUSBVID_12345&PID_12345, заменив ‘12345’ идентификационными номерами производителя и продукта USB устройства (полученными ранее). Здесь вы можете экспортировать раздел реестра в текстовый файл, чтобы посмотреть время последней записи в устройство. Для этого нажимаете Файл (File), выбираете Экспорт в regedit, раздел при этом должен быть выделен:
Раздел: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceClasses{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}##?#STORAGE#RemovableMedia#7&7f1a906&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}
Название класса: <Класс отсутствует>
Последнее время записи: 09.09.2013 — 9:25
 Название: DeviceInstance
Тип: REG_SZ
 Значение: STORAGERemovableMedia7&7f1a906&0&RM

А теперь повторим тоже самое для Windоws XP. 
Различий с 7-й почти нет, но все же пройдемся еще раз.

1. Смотрим ветку реестра HKEY_LOCAL_MACHINESYSTEMControlSetXXXEnumUSBSTOR
Здесь находятся все устройства-носители, подключаемые к USB
В ключах находящихся в данной ветви есть параметры:
— FriendlyName (Например, он равен «Kingston DataTraveler 2.0 USB Device»)
— ParentIdPrefix (Например, он равен 7&cb3a0ee&0).

Так вот первая строка — идентификатор класса, а 7&cb3a0ee&0 — уникальный идентификатор устройства. Для каждого подключаемого USB-устройства он будет разный. Даже если два устройства одинаковой класса и модели. При подключении PnP-менеджер либо считывает сюда серийный номер устройства, либо генерирует уникальный ID, если устройство не имеет зашитого серийного номера.

2. Определим букву диска под которой монтировалось устройство.
Смотрим ветку реестра HKEY_LOCAL_MACHINESYSTEMMountedDevices 
Открываем параметры вида:
DosDevicesX: (где X — буквы логических дисков).
Выбираем те, которые в значении содержат строки STORAGE#RemovableMedia
После этой строки идет ParentIdPrefix (например, 7&cb3a0ee&0).
Очевидно, что накопитель с идентификатором «Kingston DataTraveler 2.0 USB Device» монтировался в системе на букву X)

Для полноты картины смотрим все имеющиеся ControlSet’ы, а также файлик WindowsRepair. Есть еще копии куста реестра SYSTEM в каталоге «X:System Volume Information».
Внимание — случается, что флешка монтируются на одну и ту же букву и в MountedDevices информация будет только о последней.

3. Чтобы определить время последнего подключения USB-устройства делаем следующее:
Ищем в ветке реестра HKEY_LOCAL_MACHINESYSTEMControlSetXXXControlDeviceClasses
подключи {53f56307-b6bf-11d0-94f2-00a0c91efb8b} и {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} 

Открываем первый и находим там подключ, начинающийся с нужного нам идентификатора класса устройства (пример):
«##?#USBSTOR#Disk&Ven_Kingston&Prod_DataTraveler_2.0&Rev_1.04#0BF19451711018DA&0…..»
Видим, кстати, тут уникальный идентификатор устройства.
Дата последнего изменения данного подключа и будет датой последнего подключения устройства.

Открываем второй и находим там нужный нам ParentIdPrefix устройства:
«##?#STORAGE#RemovableMedia#7&cb3a0ee&0&RM…»
Дата последнего изменения данного подключа и будет датой последнего подключения тома.

4. Чтобы определить, под каким пользователем был доступ к тому делаем следующее:
— в подключе MountedDevices ищем параметры вида
??Volume{8f6082e2-dabd-11d9-b1ae-e72a1a2901ce}, в значении которых имеется нужный нам ParentIdPrefix.

— открываем файлы «NTUSER.DAT» пользователей.
Там находим ключ SoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2 

В нем ищем подключ {8f6082e2-dabd-11d9-b1ae-e72a1a2901ce}.
Соответственно, если находим, то чей NTUSER.DAT тот и имел доступ.

Автоматизация поиска.

К сожалению для автоматизации поиска с помощью VBscript ничего путнего придумать не удалось.
Не претендуя на абсолютную истину, но в ХР я нашел только три класса Win32_USBControllerDevice, Win32_USBController и Win32_USBHub, которые дают не так много информации. А про временным параметрам вообще пусто.

Set objWMIService = GetObject(«winmgmts:\» & strComputer & «rootCIMV2»)
Set colItems = objWMIService.ExecQuery(«SELECT * FROM Win32_USBControllerDevice», «WQL», _
wbemFlagReturnImmediately + wbemFlagForwardOnly)
Set colItems = objWMIService.ExecQuery(«Select * from Win32_USBController»,,48)
Set colItems = objWMIService.ExecQuery(«Select * from Win32_USBHub»,,48)

Поэтому мне больше нравится USBDeview. USBDeview представляет собой инструмент с графическим пользовательским интерфейсом, позволяющий извлекать, коррелировать и отображать всю информацию, ручное извлечение которой обсуждалось выше.

Вывод.

Если на вашей фирме использование USB устройств не запрещено полностью, то рано или поздно вы столкнетесь с ситуацией, в которой проблемы с безопасностью могут быть связаны с портативным USB накопителем. В этой ситуации приведенная информация поможет вам найти нужные решения, чтобы оперативно отреагировать на инцидент.

Потребность узнать серийный номер флешки возникает не так часто, но, иногда это все же происходит. Например, при постановке для каких-то целей USB-устройства на учет, для повышения безопасности ПК или просто для того, чтобы удостовериться, что вам не подменили носитель на аналогичный по виду. Это связано с тем, что каждая отдельная флешка имеет уникальный номер. Далее мы подробно разберемся, как можно решить поставленную в теме статьи задачу.

Способы определения серийного номера

Серийный номер USB-накопителя (InstanceId) прописан в его программном обеспечении (прошивке). Соответственно, если вы перепрошьете флешку, этот код поменяется. Узнать его можно, использовав либо специализированное ПО, либо же воспользовавшись встроенными средствами Виндовс. Далее мы пошагово рассмотрим действия при применении каждого из данных методов.

Способ 1: Сторонние программы

Прежде всего, рассмотрим порядок действий при использовании стороннего ПО. Он будет показан на примере утилиты USBDeview от компании Nirsoft.

Подключите флешку к USB-разъему ПК. Скачайте по ссылке выше и распакуйте архив ZIP. Запустите находящийся в нем файл с расширением EXE. Утилита не требует инсталляции на ПК, а поэтому ее рабочее окно тут же откроется. В отобразившемся перечне устройств отыщите наименование нужного носителя и щелкните по нему.

Способ 2: Встроенные инструменты Виндовс

Как говорилось выше, узнать серийный номер USB-накопителя можно также используя исключительно встроенные инструменты ОС Виндовс. Сделать это можно при помощи «Редактора реестра». При этом совсем не обязательно, чтобы флешка была подключена к компьютеру в данный момент. Достаточно и того, что она когда-либо ранее подсоединялся к этому ПК. Дальнейшие действия будет описаны на примере Windows 7, но этот алгоритм подойдет и для других систем данной линейки.

Наберите на клавиатуре Win+R и в открывшемся поле введите такое выражение:

Затем щелкните «OK».

Далее последовательно перейдите в ветки «SYSTEM», «CurrentControlSet» и «Enum».

Затем откройте раздел «USBSTOR».

Откроется перечень папок с наименованием когда-либо подключаемых к данному ПК USB-накопителей. Выберите каталог, соответствующий названию флешки, серийный номер которой требуется узнать.

Серийный номер флеш-накопителя при необходимости можно узнать при помощи встроенного инструментария ОС или же специализированного софта. Применение решений от сторонних разработчиков проще, но требует скачивания на компьютер. Для использования в этих целях системного реестра не требуется загрузки никаких дополнительных элементов, но этот вариант несколько сложнее, чем предыдущий.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Как удалить данные о USB Флешках в реестре Windows

Как удалить данные о USB Флешках в реестре Windows

Как удалить данные о USB Флешках в реестре Windows

Добрый день уважаемые читатели блога pyatilistnik.org, сегодня хочу рассказать как удалить данные о USB Флешках в реестре Windows. Эта статья является продолжением статьи Как узнать какие usb накопители подключались к компьютеру. Вся информация о любых USB носителях, когда-либо подключаемых к компьютеру, хранится в системном реестре. Если к компьютеру подключается много флешек разных моделей и производителей, то со временем в реестре скапливается очень много мусора. В результате процесс определения и подключения нового устройства начинает занимать значительное время и тормозит систему.

Выход один. Нужно периодически чистить разделы реестра, который хранят данные о подключаемых флешках и других USB накопителях. Очистка этих разделов позволит ускорить подключение новых USB устройств и работу системы в целом.

Чистку надо производить с помощью системной программы Regedit. Запускается она так.
Пуск – Выполнить – Regedit

Как удалить данные о USB Флешках в реестре Windows-01

Разделы реестра, хранящие данные о любом USB накопителе, когда-либо подключаемом к ПК – Флешки, внешние хард диски, а так же фотоаппараты, телефоны, флеш плееры и другие устройства, которые при подключении к ПК были распознаны как внешний USB накопитель. Здесь можно удалить все подразделы с префиксом Disc.

Как удалить данные о USB Флешках в реестре Windows-02

Из скринов видно, что подключались так же и хабы и HDD через хаб

Как удалить данные о USB Флешках в реестре Windows-03

Если чистить в ручную не хотите, то есть и бесплатное ПО, например USB Oblivion . Запускаем утилиту

Как удалить данные о USB Флешках в реестре Windows-04

Ставим галку Произвести реальную очистку

Как удалить данные о USB Флешках в реестре Windows-05

Видим, что все завершено и было удалено много записей из реестра. Проверим реестр. Обратите внимание что папку USBSTOR нету.

Как удалить данные о USB Флешках в реестре Windows-06

Ну и на по следок посмотрим программой USBDeview, тоже все чисто.

Как удалить данные о USB Флешках в реестре Windows-07

Вот уважаемые читатели где хранится данные о ваших флешках, так что если, что то нужно удалить то начинайте.

Как посмотреть историю подключения USB?

Недавно на сайте был задан интересный вопрос. Автор интересовался можно ли посмотреть историю подключения USB. Если есть интерес значит надо об этом написать. Кроме того данная тема относится к Форензике — компьютерной криминалистике, а как вам известно эта тема переплетается с тематикой нашего сайта.

Поэтому в данной статье я решил рассказать про все способы, которые позволяют узнать: когда и какие USB устройства подключались к компьютеру под управлением операционной системы Windows.

Если вы пользуетесь социальной сетью ВКонтакте, то вам будет интересно узнать как с помощью функции «История активности ВКонтакте» узнать о взломе своей страницы.

История USB подключений

• История USB подключений в реестре
• Программы для просмотра истории USB подключений

• История подключения USB устройств программой USBDeview
• История подключений USB программой USB History Viewer

Существуют несколько способов: ручной — это когда самому надо копаться в реестре Windows и с использованием специальных программ. Я поверхностно расскажу про реестр и более подробно поговорю о программах, так как это на мой взгляд самый легкий и удобный способ вытащить историю использования USB девайсов.

История USB подключений вручную

Все данные о подключениях USB хранятся в реестре Windows в этих ветках:

Если опыта нет, туда лучше не соваться. А если решитесь, то хотя бы делайте бекап или снимок реестра. Как это сделать мы писали в статье «Отслеживание изменений реестра»

История USB подключений программами

Идеальным для меня способом является использование специальных программ. Я представлю две программы, у каждой есть свои достоинства. Для вашего удобства в конце статьи я прикрепил архив для скачивания всех программ разом.

История USB подключений программой USBDeview

USBDeview — это маленькая, бесплатная программа для просмотра и анализа истории подключения USB- устройств, таких как флешка, внешний жесткий диск, смартфон, планшет, USB мышка, клавиатура и т.д.

Скачать USBDeview

Скачать USBDeview бесплатно вы можете по этой прямой ссылке английскую версию. А Русскую версию здесь с файлообменика.

Автор программы известный Израильский программист Нир Софер, который написал большое количество бесплатных, полезных приложений.

Использование USBDeview

После того как скачали, разархивируйте и запустите файл «USBDeview.exe». Версия портабельная, т.е не требует установки, и после запуска мгновенно запустится.

Быстренько просканировав компьютер USBDeview отобразит список всех ранее подключенных USB-устройств.

Вот какую информацию может показать программа:

• Имя устройства
• Описание
• Первое подключение
• Последнее подключение
• Буква диска
• Серийный номер
• Производитель устройства
• Версия USB
• И т.д.

Есть еще куча другой информации, но большинству для того чтобы отследить кто и когда подключал к компьютеру флешку наверное хватит даты подключения, названия и описания USB-устройства.

Это по поводу информации которую может предоставить данная утилита. Но кроме этого программа может отключить, включить, удалить а также запретить USB устройства. Если вы собираетесь проделывать какую-нибудь из этих вышеперечисленных операций, то я настоятельно рекомендую сделать предварительно бекап или точку восстановления системы. Если же вы желаете просто просмотреть историю подключений, то делать бекап не требуется.

Кроме этого программа умеет работать из командной строки. Т.е. используя специальные команды можно получить всю информацию удаленно. Подробнее о командах вы можете узнать на сайте разработчика.

Ну, и конечно все полученные данные можно сохранить в виде отчета во всевозможные форматы от *.txt до *.html.

История USB программой USB History Viewer

Следующая программа с которой я хочу вас познакомить — это USB History Viewer. Утилита отображает информацию только о подключенных флешках и внешних жестких дисках.

Скачать USB History Viewer

Скачать USB History Viewer бесплатно вы можете по этой ссылке только английскую версию.

Использование USB History Viewer

Запускаем программу и видим три поля.

1. Computer name — Имя компьютера
2. Authentication — Авторизация
3. Get USB History — Список флешек

В первом поле выбираем компьютер. Во втором поле прописываем данные авторизации и нажимаем Start. Если необходимо вытащить информацию по текущему компьютеру и пользователю, то нечего не меняем, оставляем все поля как есть.

Данная программа лично мне нравится меньше, хотя имеет свои плюсы. Главным достоинством является умение вытаскивать историю использование флешек удаленно в локальной сети, но это требует логина и пароля удаленной машины.

На самом деле есть еще программа Internet Evidence Finder, но из-за ее фантастически высокой цены я даже рассказывать про нее не стал. Мощная утилита, но стоит 999$. Если вы профи Форензики, то вперед, но большинству хватит и этих инструментов.

Скачать архив с представленными в статье программами вы можете по этой ссылке.

На этом все, друзья. Надеюсь вам помогла данная статья и вы смогли посмотреть историю подключения USB. В целом это очень нужные программы, которыми надо уметь пользоваться, иметь у себя в архиве программ, ну или хотя бы как минимум знать об их существовании.

Кстати, чтобы не пропустить обзоры других подобных программ обязательно подпишитесь на наши паблики в социальных сетях. В будущем будет еще больше интересного!

Windows ведет журналы всего, что происходит на вашем компьютере. И в этих журналах есть подробная документация о том, когда USB-устройства подключались и отключались.

Существует множество причин, по которым вам может понадобиться просмотреть запись истории ваших USB-подключений. К ним относятся устранение неполадок с подключенными периферийными устройствами и проверка того, не подключил ли кто-то запоминающее устройство без вашего ведома. Вот четыре различных способа просмотра истории USB-устройства на ПК с Windows.

Почему Windows регистрирует USB-подключения?

Windows ведет учет каждого USB-устройства, которое подключается и отключается от компьютера, на котором оно установлено. Это делается для того, чтобы будущие подключения одного и того же устройства распознавались и могли выполняться быстро, без необходимости каждый раз устанавливать устройство.

Он не предназначен для того, чтобы вы могли видеть подключенные USB-устройства, но когда вы знаете, как просматривать эти системные записи, вы можете найти информацию.

Использование USBDeview для просмотра USB-соединений

USBDeview — это небольшая портативная утилита, позволяющая быстро просматривать историю USB-подключений любого компьютера, на котором она запущена. Помимо отображения истории устройства, он также будет отображать все ваши подключенные в настоящее время USB-устройства. Вы можете бесплатно загрузить USBDeview с веб-сайта NirSoft.

1. После загрузки программного обеспечения извлеките его из заархивированной папки. USBDeview — это портативное приложение, поэтому вам не нужно устанавливать его перед использованием.
2. Дважды щелкните файл приложения USBDeview, чтобы запустить приложение. Заполнение списка может занять несколько секунд.
3. При обновлении списка USB-подключений подключенные в данный момент устройства выделяются зеленым цветом. Исторические связи оставлены белым цветом.
4. Вы можете щелкнуть вкладку «Подключенные», чтобы разделить и отсортировать различные подключения.
5. Запуск приложения от имени администратора позволяет увидеть время и дату последнего подключения и удаления устройств. Чтобы просмотреть эту информацию, просмотрите два последних столбца данных.

Просмотр истории USB-подключений с помощью PowerShell

Если вы предпочитаете не использовать стороннее программное обеспечение для просмотра истории вашего USB-устройства, вместо этого вы можете использовать PowerShell. Вы можете использовать PowerShell для запроса системного реестра и получения списка всех подключенных в настоящее время USB-накопителей, а также тех, которые были подключены ранее.

Если вы никогда раньше не использовали PowerShell, вы можете больше узнать об этом полезном инструменте в нашем руководстве по Windows PowerShell.

1. Откройте PowerShell из основного списка приложений Windows. Вам не нужно открывать как администратор, но вы можете, если хотите.

2. Чтобы просмотреть удобный список USB-накопителей, введите команду: Get-ItemProperty -Path HKLM:SYSTEMCurrentControlSetEnumUSBSTOR| Выберите дружественное имя

   

3. Вы также можете просмотреть список устройств с немного большей информацией, но менее удобным для пользователя способом, набрав: Get-ChildItem HKLM:SYSTEMCurrentControlSetEnumUSBSTOR | Выберите PSChildname

Имейте в виду, что эти методы запрашивают раздел реестра USBSTOR, поэтому будут показаны только те устройства, которые распознаются как USB-накопители.

Просмотр истории USB-подключений в реестре

Команды PowerShell, описанные выше, запрашивают реестр Windows, но при желании вы можете зайти в реестр и вручную найти информацию о подключениях USB-накопителей. Преимущество этого заключается в предоставлении дополнительной информации, которая может быть полезна при устранении неполадок.

1. Откройте редактор реестра, выполнив поиск Regedit с помощью поиска Windows.
2. Когда редактор реестра открыт, вам нужно перейти по следующему адресу на боковой панели: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSBSTOR .
3. USB-устройства будут перечислены на боковой панели. Если вы развернете каждый из них, вы можете найти больше информации о них.

Проблема как с этим, так и с методом PowerShell заключается в том, что вы не сможете увидеть, когда USB-устройства были подключены или отключены. Но вы можете увидеть эту информацию в журналах событий Windows.

Просмотр истории USB-подключений с помощью журналов событий

В Windows есть встроенное средство просмотра событий, которое можно использовать для просмотра истории USB-подключений. Однако проще использовать стороннее приложение под названием FullEventLogView. Это небольшое и портативное приложение показывает ту же информацию, что и в средстве просмотра событий Windows, но отображает ее в гораздо более удобном для пользователя виде. FullEventLogView — это портативное приложение, поэтому его не нужно устанавливать перед использованием.

1. Запустите приложение, дважды щелкнув файл приложения в загруженной папке.
2. При первом использовании приложения сканирование всех доступных журналов событий займет несколько секунд.
3. Чтобы отобразить только события USB-подключения, нажмите «Параметры» > «Дополнительные параметры».
4. В открывшемся новом окне отмените выбор всех уровней событий, кроме информации. Затем выберите диапазон дат, за который вы хотите просмотреть журналы.
5. Измените Показать все идентификаторы событий на Показать только указанные идентификаторы событий и введите 2003,2102. Эти идентификаторы событий указывают, когда USB-устройства были подключены и когда они были извлечены.
6. Измените Показать все каналы на Показать только указанные каналы и введите: Microsoft-Windows-DriverFrameworks-UserMode/Operational.
7. Нажмите «ОК», и все события, соответствующие вашим настройкам, будут отображаться в виде списка. Столбец времени события показывает, когда USB-устройства были подключены и извлечены.
8. Вы можете нажать на любое из событий, чтобы увидеть немного больше информации.

Просмотр истории USB-подключений компьютеров в локальной сети

Все описанные выше методы позволяют просматривать историю USB-подключений устройств только на одном компьютере. Если вы хотите просмотреть историю подключений всех компьютеров в локальной сети, ответом может стать USB History Viewer от intelliAdmin.

1. После загрузки приложения дважды щелкните файл EXE, чтобы открыть его.
2. Вам необходимо ввести имя вашего компьютера, прежде чем вы сможете просмотреть историю USB. Если вы не знаете имя своего компьютера, выберите «Настройки» > «Система» > «О программе». Имя вашего компьютера отображается вверху.
3. Нажмите кнопку «Пуск», чтобы просмотреть историю USB. Затем вы можете развернуть результаты, чтобы увидеть такие подробности, как время и дата последнего использования.
4. Если вы хотите посмотреть историю USB другого ПК в вашей локальной сети, вам потребуется ввести логин и пароль компьютера, а также его домен в сети. Если вы не знаете, как найти домен компьютера в вашей локальной сети, ознакомьтесь с этими полезными сетевыми командами.

Просмотр истории USB-подключений — это просто

Есть несколько способов просмотреть историю USB-устройств, которые были подключены и отключены от вашего компьютера. Не все приведенные здесь методы предоставляют одинаковое количество информации, но каждый из них может быть полезен в разных ситуациях. Если вам нужно посмотреть, какие USB-подключения были выполнены, обязательно поможет один из этих способов.