USB接口的设备与计算机连接后,会在注册表和系统目录下的日志文件setupapi.log中留下使用痕迹,当设备与计算机断开连接后,这些痕迹依然存在。在保密检查中,这些痕迹被作为USB设备使用的证据被检查出来,证据中包含了USB设备的类型、销售商代码、产品代码、设备序列号等信息。
USB设备使用痕迹在注册表中位置
HEKY_LOCAL_MACHINE\SYSTEM\CurrentCtrolSet\Enum\USB下创建一个子键,
形式为Vid_1043Pid_8012,第一个4位数据是销售商代码、由USB协会分配给各销售商;第二个4位数字是产品代码,由销售商分配给其生产的产品,这个键的子键记录的就是设备的序列号。序列号子键下有个键值Driver,根据Driver的具体值可以在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class
下找到对应GUID下的子键也记录了USB设备的使用信息;
序列号子键下还有键值ClassGUID和Service,