Czy zdarzenia odłączenia USB są rejestrowane w Windows 7? (Kiedy moja mysz została skradziona?)


19

Wiem, że to brzmi trochę absurdalnie, ale ktoś ukradł moją mysz z mojej kabiny .. Przyszedłem rano do pracy i chciałem trochę przesunąć myszką, aby obudzić monitor, ale go nie było!

Próbuję dowiedzieć się, kiedy to się stało. Korzystam z systemu Windows 7 i jest to mysz USB. Sprawdziłem dzienniki zdarzeń, ale wydaje się, że nie ma żadnych dzienników, które mogłyby powiedzieć mi, czego szukam.

Czy jest jakieś miejsce, w którym rejestrowane są zdarzenia odłączenia USB?


7
Mój dziennik zdarzeń nazywa się kamerą bezpieczeństwa.
Bart Silverstrim

3
Na ogół w suszarce znajduję brakujące myszy.
GregD

2
Ustaw pułapkę, kup ukrytą kamerę i ładniejszą mysz, aby ponownie złagodzić złodzieja.
Moab

2
Uwielbiam to pytanie, chciałbym zobaczyć odpowiedź ...
studiohack

3
czy sprawca kiedykolwiek został złapany?
Drew

Odpowiedzi:


5

Nie ma niestety ich dziennika - te wydarzenia są utracone na zawsze. Zawsze chciałem mieć dmesgodpowiednik w systemie Windows.

W systemie Windows XP i wcześniejszych można użyć winmsddo wygenerowania wyniku konfiguracji systemu, ale w późniejszych wersjach został on zastąpiony msinfo32(aplikacją GUI, której nie jestem pewien co do analizy wyniku).

Oba z nich dostarczają jednak tylko informacji na temat punktu w czasie, więc w celu wykrycia kradzieży myszy musisz regularnie rejestrować dane wyjściowe winmsddo pliku. Muszę przyznać, że osobiście skorzystam z sugestii kamery internetowej w przyszłości.


Ale czy program Windows może to zrobić? A może ta funkcja jest po prostu niedostępna w systemie Windows (więc programy nie mają takiej możliwości)?
Pacerier

2
W rzeczywistości jest do tego plik dziennika. Nazywa się Microsoft-Windows-DriverFrameworks-UserMode-Operational.evtx, ale jest domyślnie wyłączony w Win10.
StackzOfZtuff

7

Być może jest już za późno, ale istnieje kilka programów, które zrobią to dokładnie. Najłatwiejszym w użyciu jest USBLogView

Inne opcje, niezbyt przyjazne, to Windows USB Storage Parser lub Microsoft USBView (UVCView na Win7), który jest dostarczany z Windows Driver Kit (WDK).

Jeśli naprawdę chcesz ubrudzić sobie ręce, otwórz RegEdit i poszukaj następujących wpisów:

Opis : Lista zainstalowanych urządzeń USB, zarówno podłączonych, jak i niepodłączonych Lokalizacja : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB Dlaczego Cię to obchodzi : Warto wiedzieć, które urządzenia USB zostały podłączone do skrzynki, a nawet producenta i numer seryjny urządzenia w niektórych przypadkach. Myślisz, że ktoś skopiował dane na dysk USB? Może to pomóc w wyśledzeniu, co to jest thumbdrive. Pomyśl, jak przydatne może być powiązanie czegoś, co fizyczny użytkownik posiada z pudełkiem.

Opis : Lista zainstalowanych urządzeń pamięci masowej USB Lokalizacja : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR Dlaczego Cię to obchodzi : Podobnie jak pozycja zainstalowanych urządzeń USB, ale tylko pamięć USB. Myślisz, że ktoś skopiował dane na dysk USB? Może to pomóc w wyśledzeniu, co to jest thumbdrive. CleanAfterMe szoruje HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB, ale nie USBSTOR podczas ostatniego testu.


1
Monitorowanie tych kluczy za pomocą Procmon.exe z SysInternals zrobiło dokładnie to, czego potrzebowałem.
Doug Wilson
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.