Всем хорошего дня! Уважаемые знатоки, подскажите пожалуйста где в реестре хранится информация о подключенных usb-устройствах (накопители, сотовые телефоны и т.д.), конкретно интересует информация позволяющая идентифицировать время последнего подключения.
Заранее благодарен всем отписавшимся!)
но глянул там даты нет, можно ещё посмотреть, кажись утилиты Русиновича умеют извлекать дату редактирования ключа реестра даже если она явно не указана.
И возможно вам будут полезны ключи в подразделе
Есть программы позволяющие просмотреть историю подключений (например "usbdeview"), где можно посмотреть дату подключения (опять же думаю информация извлекается из реестра), однако зачастую история подчищается, а следы в реестре остаются. В связи с этим и назрел насущный для меня вопрос)
Есть программы позволяющие просмотреть историю подключений (например "usbdeview"), где можно посмотреть дату подключения (опять же думаю информация извлекается из реестра),
Есть программы позволяющие просмотреть историю подключений (например "usbdeview"), где можно посмотреть дату подключения (опять же думаю информация извлекается из реестра), однако зачастую история подчищается, а следы в реестре остаются. В связи с этим и назрел насущный для меня вопрос)
SENSORED, наберите в яндексе или гугле поисковый запрос: forensic + usb device
и получите уйму полезной информации и готовых инструментов по Вашей теме.
Если понадобится инфа и о других следах, посмотрите RegRipper от Harlan Carvey, от него же много статей. К этой программе есть куча сторонних плагинов. Всё - open source (python).
На вход этой программе нужны сырые hiv-слепки реестра. Можно сделать, например, через ERUNT.
По поводу даты модификации ключа реестра, можно извлечь тем же родным редактором реестра. Учтите, что дату ключа получить можно, а параметра - нет. Такая инфа не сохраняется.
EnCase, RigRipper, чуть менее интересный (для меня) OSForensics. Функционал просто огромнейший!!! Ждал готовых решений когда обращался на форум - "ткну там, нажал сюда и т.п.", вышло все не так просто, но намного полезнее и продуктивнее. Глубина "кроличьей норы" (реестра), для меня как непросвещенного, сравнима с марианской впадиной)