Storia dei dispositivi USB collegati

Voglio verificare quali dispositivi sono collegati al mio computer negli ultimi 30 giorni.
Esiste un modo per visualizzare la cronologia dei dispositivi USB collegati (incluso il nome del volume) in Windows 7?

Sei nell'area di medicina legale, quindi è quello che dovresti cercare su Google. Il problema con alcuni di questi è che non è ufficialmente documentato. Tuttavia, qualsiasi informazione sul dispositivo esterno, anche se precedentemente collegata, verrà registrata in alcune chiavi del registro. Il trucco è scoprire quale e in quale formato.

È passato un po 'ma ricordo di aver iniziato con:

HKLM \ System \ MountedDevices

Il formato per ogni chiave è REG_BINARY ma è testo a 16 bit. Esistono GUID per ciascun dispositivo che è stato collegato, il nome del dispositivo e il suo numero di serie.

Senza davvero andarmene e farlo da solo, posso darti alcuni esempi. Per esempio:

Nome: \ ?? \ Volume {c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID ...}

Se decodificassi i dati in REG_BINARY, otterrei un GUID che farebbe riferimento incrociato a, diciamo,

Nome: "\ DosDevices \ E:" REG_BINARY ..... (stesso GUID qui da qualche parte)

Quindi otterrai i dettagli e il numero di serie dal primo e vedrai dove era collegato nel secondo. Il GUID può anche essere utilizzato per trovare lo stesso dispositivo USB e il suo numero seriale in altre chiavi, in particolare:

HKLM \ SYSTEM \ ControlSet001 \ Control \ DeviceClasses \ {GUID}

In breve, alcune altre chiavi di tuo interesse:

 HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2 

Se un GUID dalla chiave "HKLM \ SYSTEM \ MountedDevices" corrisponde a un GUID in questa chiave (per questo utente - è HKCU, non HKLM), allora indica quale utente è stato connesso quando quel particolare dispositivo USB è stato collegato. Anche "Last Write Time" è qui da qualche parte.

 HKLM \ SYSTEM \ CurrentControlSet \ Control \ DeviceClasses \ 

Le sottochiavi qui (di nuovo GUID) includono il nome del dispositivo, il suo numero seriale e altre sottochiavi GUID. Viene inoltre acquisita una sequenza temporale per quando ciascun dispositivo è stato collegato e successivamente rimosso.

Non ho approfondito con esempi concreti in quanto avrei bisogno di decodificare REG_BINARY ma posso modificare nuovamente questo post e aggiungere dettagli se lo desideri. Nota che stavo usando REG QUERY per approfondire questo, ma ho appena notato che regedit decodificherà i dettagli per te se fai doppio clic su un tasto (non modificarlo !!)