USB取证原理

最新推荐文章于 2022-06-27 09:35:18 发布
最新推荐文章于 2022-06-27 09:35:18 发布
阅读量2.9k 收藏 10
点赞数 1
分类专栏: USB设备取证 文章标签: usb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seng_/article/details/50948885
版权

     USB接口的设备与计算机连接后,会在注册表和系统目录下的日志文件setupapi.log中留下使用痕迹,当设备与计算机断开连接后,这些痕迹依然存在。在保密检查中,这些痕迹被作为USB设备使用的证据被检查出来,证据中包含了USB设备的类型、销售商代码、产品代码、设备序列号等信息。



USB设备使用痕迹在注册表中位置


HEKY_LOCAL_MACHINE\SYSTEM\CurrentCtrolSet\Enum\USB下创建一个子键,

形式为Vid_1043Pid_8012,第一个4位数据是销售商代码、由USB协会分配给各销售商;第二个4位数字是产品代码,由销售商分配给其生产的产品,这个键的子键记录的就是设备的序列号。序列号子键下有个键值Driver,根据Driver的具体值可以在

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class

下找到对应GUID下的子键也记录了USB设备的使用信息;

序列号子键下还有键值ClassGUID和Service,

最低0.47元/天 解锁文章
seng_
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机保密检查发现反取证信息,计算机系统信息隐藏反取证技术①.PDF
weixin_39819671的博客
07-28 4027
计算机系统信息隐藏反取证技术①2013 年 第 22 卷 第 5 期 计 算 机 系 统 应 用计算机系统信息隐藏反取证技术①李佟鸿, 王 宁, 刘志军(湖北警官学院, 武汉 430032)摘 要: 研究了现代计算机系统信息隐藏的各种可能方式. 运用 HPA 和 DCO 、隐藏分区等技术分析了磁盘驱动的数据隐藏...
痕迹擦除器
12-05
Eraser 痕迹清除器 是一个彻底删除文件 擦除回收站内删除文件 以及清除驱动器未用磁盘空间(不影响未删除的文件)的工具软件 可以彻底清除以前删除文件的任何痕迹
USB痕迹取证(windows)
01-11
USB痕迹取证(windows),收集电脑USB插拔痕迹,内容信息全面!手工取证分析必备!
SysTools 工具箱SSD恢复、迁移、取证、备份等
04-05
SysTools数据恢复、数据迁移、数据备份、数据取证 、PDF 解锁器等工具。
USB取证工具-Usbrip
5L2g556F5ZWl77yf
03-29 607
简介 Usbrip(源自“USB Ripper”,而不是“USB RIP”惊人)是一个开源取证工具,带有CLI界面,可让您跟踪USB设备工件(即USB事件历史记录,“已连接”和“已断开连接”事件) usbrip是用Python 3编写的软件,它解析Linux日志文件(/var/log/syslog或/var/log/messages)以构建USB事件历史表。此类表格可能包含以下列:“已连接”(日期...
(9.1)【数据隐藏】反取证:隐藏清除痕迹、隐藏密码
06-06 2423
【反取证】消除种种痕迹
取证痕迹擦除
JackLiu16的博客
03-01 5940
1.系统日志(1)应用程序日志:记录了重要的应用程序产生的错误和成功信息(2)安全日志:windows系统的组件产生的日志(3)系统日志:审核策略的日志查看系统日志的方法为开始---设置---控制面板---管理工具--事件查看器。 2.服务器日志(1)IIS日志:用于记录网络用户活动的细节信息(2)FTP日志:所有用户的访问信息(3)DNS日志:DNS活动相关的事件信息查看IIS日志的方法:开始...
ANDROID取证实战—调查、分析与移动安全,高清完整扫描版
11-14
首先从android的硬件设备、应用开发环境、系统原理等多角度剖析了android系统的安全原理,为读者打下坚实的理论基础,然后结合实用的取证分析工具和经典案例,系统而生动地讲解了android取证原理、技术、策略、...
Android手机Recovery模式取证方法研究.pdf
09-22
Android手机Recovery模式取证方法的技术原理是通过使用ADB(Android Debug Bridge,Android调试桥接器)来实现安卓设备和个人计算机之间的通信。ADB是一个多功能的调试工具,用于实现安卓设备和个人计算机之间的...
锁屏Android智能手机取证方法的研究.pdf
09-22
本文将对锁屏Android智能手机取证方法进行研究,从智能手机的系统启动原理进行分析,提出了一种利用Android Debug Bridge协议清除锁屏密码、打开USB调试、连接取证工具进行取证的方法。 1. 智能手机取证的重要性 ...
国外反取证工具最新版
08-26
国外最好的反取证工具,可能用来清理系统痕迹,有需要的自行下载。
USB痕迹删除方法及工具
02-15
应对保密检查,使用该工具可以删除部分USB痕迹,亲测比市面上大部分包括商业的好用,朗威保密检查工具检查不出来
misc_m0usb_7abff1b86ba3410cb07ecfb87234a4d6.zip
05-14
【标题】"misc_m0usb_7abff1b86ba3410cb07ecfb87234a4d6.zip" 是一个与网络安全竞赛相关的压缩包,其中包含的是2021年津门杯(Tianjin Cup)MISC(Miscellaneous)类别中的“m0usb”题目的源代码。这个挑战可能是...
Windows操作系统环境下调查USB设备使用痕迹方法研究
qq_41786318的博客
07-06 1万+
http://www.xsjs-cifs.com/article/2015/1008-3650-40-2-138.htmlWindows操作系统环境下调查USB设备使用痕迹方法研究USB是一种外部总线标准, Universal Serial BUS(通用串行总线)的英文缩写, 用于电脑与外部设备的连接和通讯。典型的USB设备主要包括U盘、移动硬盘、数码相机、扫描仪、图像设备、打印机、键盘和鼠标等。...
Windows XP 对USB设备使用的痕迹记录原理
Life
08-26 1万+
<br />Windows 2000/XP 系统对U盘的处理过程入手,逆向彻底消除U盘使用痕迹<br />2008/06/20 21:55<br />如何彻底消除U盘使用痕迹?网上有许多资料,但是都是难以理解,假设作为操作系统,它不会保存无意义的U盘使用痕迹(如果故意设置后门当然不同),这些相关痕迹实际应该是操作系统快速识别移动存储设备必须的信息。Windows一般使用注册表来存储这样的信息,但是对于系统的重要更改,一般也会保留*.log的日志以方便排错。<br />对于计算机系统来说,U盘这样一个东西,实
有关于取证的笔记——包含详细例题解析
Mark的博客
04-21 5276
取证前言一、取证工具介绍1.1 Volatility取证1.2 E二、刷题记录1.引入库2.读入数据总结 前言 提示:取证很重要、取证很重要、取证很重要 一、取证工具介绍 1.1 Volatility取证 1.2 E 二、刷题记录 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.fi
usb插入检测系统、支持实时日志记录、邮箱报警
weixin_46927372的博客
06-27 1245
usb插入检测系统、支持实时日志记录、邮箱报警
USB设备信息-3
rageliu的专栏
05-18 2467
HardwareID就是了   [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Enum/USBSTOR/Disk&Ven_Netac&Prod_OnlyDisk&Rev_1.11/221D19FD3D8E6261&0]  "DeviceDesc"="Disk  drive"  "Capabilities"=dword:00000010  "UINumbe
u盘使用记录、痕迹删除技巧方法
热门推荐
bruce135lee的专栏
11-08 3万+
在日常生活的使用U盘过程当中,系统会记录下大量U盘的使用记录信息,那么接下来小编就来同大家分享介绍如何删除掉这些使用记录的方法知识。   1. 往系统里面添加环境变量devmgr_shownonpresent_devices,值为12. 运行设备管理器,打开查看隐藏设备。展开磁盘驱动器、储存卷两处,把和U盘有关的Kill掉。3. 打开计算机管理,把可移动存储相关的删除。4. 把
内存取证原理 方法 意义
最新发布
05-25
内存取证是指对计算机内存中的数据进行获取、分析、提取和保存的过程。其原理是通过特定的工具或技术,对计算机内存中的数据进行快照或复制,然后对这些数据进行分析和提取,以获取有用的信息,如操作系统进程、网络连接、文件和密码等。 内存取证的方法主要包括静态取证和动态取证。静态取证是指在系统关闭或不运行任何程序的情况下,将内存中的数据进行复制和分析;动态取证则是在系统运行时,通过特定的工具获取内存中的数据,并进行实时分析。 内存取证的意义在于可以帮助调查人员快速获取有用的信息,从而帮助他们了解计算机被攻击的情况及攻击者的行为,从而采取相应的措施来保护计算机系统的安全。同时,内存取证在数字取证领域中也具有重要的应用价值,可以帮助调查人员提高证据收集的效率和准确性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值