Gli eventi di disconnessione USB sono registrati in Windows 7? (Quando mi è stato rubato il mouse?)


19

So che suona un po 'ridicolo, ma qualcuno mi ha rubato il topo dal mio cubicolo .. Sono venuto a lavorare la mattina e stavo per darmi una piccola spinta per riattivare il monitor, ma non c'era!

Sto cercando di capire quando è successo. Sto eseguendo Windows 7 ed è un mouse USB. Ho controllato i registri degli eventi, ma sembra che non ci siano registri che potrebbero dirmi cosa sto cercando.

Esiste un luogo in cui sono registrati gli eventi di disconnessione USB?


7
Il mio registro eventi è chiamato telecamera di sicurezza.
Bart Silverstrim,

3
In genere trovo topi mancanti nell'asciugatrice.
GregD

2
Prepara una trappola, compra una macchina fotografica nascosta e un mouse più carino per tentare di nuovo il ladro.
Moab,

2
Adoro questa domanda, mi piacerebbe vederla risposta ...
studiohack

3
il colpevole è mai stato catturato?
Disegnò il

Risposte:


5

Purtroppo non ce n'è un registro: quegli eventi si perdono per sempre. Ho sempre desiderato un dmesgequivalente su Windows.

Con Windows XP e precedenti, è possibile utilizzare winmsdper produrre un output di configurazione del sistema, ma nelle versioni successive è stato sostituito con msinfo32(applicazione GUI di cui non sono così sicuro sull'analisi dell'output di).

Entrambi però ti forniscono solo informazioni temporali, quindi per il lavoro investigativo sul furto del mouse dovrai registrare regolarmente l'output di winmsdun file. Devo ammettere che andrei personalmente con il suggerimento della webcam in futuro.


Ma è "possibile" farlo per un programma Windows? O la funzionalità non è disponibile in Windows (quindi i programmi non hanno la capacità di farlo)?
Pacerier,

2
In realtà, esiste un file di registro per questo. Si chiama Microsoft-Windows-DriverFrameworks-UserMode-Operational.evtx ma è disabilitato per impostazione predefinita su Win10.
StackzOfZtuff,

7

Adesso potrebbe essere troppo tardi, ma ci sono un paio di software che faranno esattamente questo. Il più semplice da usare è USBLogView

Altre opzioni, non così intuitive , sono il Parser di archiviazione USB di Windows o USBView di Microsoft (UVCView su Win7), fornito con il Windows Driver Kit (WDK).

Se vuoi davvero sporcarti le mani, apri RegEdit e cerca le seguenti voci:

Descrizione : Elenco dei dispositivi USB installati, sia connessi che non connessi Posizione : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB Perché ti interessa : può essere utile sapere quali dispositivi USB sono stati collegati a una scatola, e anche il fornitore e il numero di serie del dispositivo in alcuni casi. Pensi che qualcuno abbia copiato i dati su una chiavetta USB? Questo può aiutarti a rintracciare la levetta. Pensa quanto può essere utile per aiutare a legare qualcosa che un utente fisico possiede a una scatola.

Descrizione : Elenco dei dispositivi di archiviazione USB installati Ubicazione : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR Perché ti interessa : proprio come la voce dei dispositivi USB installati, ma solo per l'archiviazione USB. Pensi che qualcuno abbia copiato i dati su una chiavetta USB? Questo può aiutarti a rintracciare la levetta. CleanAfterMe scrub HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB ma non USBSTOR quando ho eseguito l'ultimo test.


1
Il monitoraggio di quelle chiavi con Procmon.exe da SysInternals ha fatto esattamente ciò di cui avevo bisogno.
Doug Wilson,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.