近来有小伙伴在看了我先前的文章-<如何检视USB存储设备的使用记录>,如下所示:
https://www.cnblogs.com/pieces0310/p/15943567.html
仍然想要进一步知道如何具体操作,因此,我就再次进行说明好了~
首先,关于你提到的问题,其实操作系统的机制本就不在为操作行为留下记录,说穿了,都是为了优化系统及提升用户体验为主要考虑.因此,关于USB存储设备在Windows的使用痕迹,要由以下2个方式来入手:
工具下载链结:
https://www.nirsoft.net/utils/usb_devices_view.html
https://eventlogxp.com/
1- 透过运行USB Device View这个免费工具可得知曾使用过USB设备的pid, vid, serial number.
但要小心,在图1中,为何有数个装置的时间戳竟都碰巧相同,这就是容易误判之处,主因是易受Windows更新所影响.导玫时间戳连带被变动.说白了,就是”不准确”.
2. 透过Event Log Explorer查看特定事件查看器日志文件(文件名在图2左上角),得知USB设备的使用历程,包括时间戳USB设备的pid,vid, volume info等.
但即便知道上述信息,有件事要特别强调-
将文件由本地磁盘拷贝到外接的USB存储装置,这样的操作行为在Windows操作系统本身,并不会留有任何记录.
因此,只能藉由上述USB存储设备的痕迹,搭配该时间点附近的文件时间线(Timeline)来推敲是否可能有文件被拷贝流出的情事.
当然了,若有商业取证工具,会更有利于这类迹证的分析.
