USB使用痕迹追踪技术

2024年1月14日发(作者：)

USB使用痕迹追踪技术

随着电子技术的发展，具有USB接口的电子设备越来越多，而且大多数都可以作为存储介质使用。目前较为典型的设备就是手机，手机通过USB接口与电脑连接时，有多种连接模式可供选择，如存储介质模式、调制解调器模式、摄像头模式和充电模式等，当然不同的手机提供的连接模式也不尽相同。当各种设备通过USB接口以存储介质模式与电脑连接时，可能会给电脑带来病毒、“木马”间谍程序等，还可以带走电脑上的涉密信息。基于这些危害，在开发、存储和处理国家涉密信息的单位，都会依据国家相关的法律规定，再结合本单位的特点，制定一套切实可行的移动存储介质管理方案。

在国家的各保密单位中，涉密存储介质应在显眼的位置作出“绝密”、“机密”、“秘密”的密级标识，并按照相同密级的国家秘密载体进行管理；非涉密存储介质不得存储国家秘密信息，严禁将涉密存储介质擅自转借或者转让给他人、挪作他用；指定密级的移动存储介质只能在指定的一些计算机上使用，严禁涉密存储介质和非涉密存储介质的交叉使用。有些单位甚至将USB接口封死，禁止任何USB接口设备的使用，由此看见，对于USB接口存储介质管理的重要性，所以在目前的保密检查中，将USB设备使用痕迹的检查作为一项重点的检查内容。

2．USB设备使用痕迹

USB接口的设备与计算机连接后，会在注册表和系统目录下的日志文件中留下使用痕迹，当设备与计算机断开连接后，这些痕迹依然存在。在保密检查中，这些痕迹被作为USB设备使用的证据被检查出来，证据中包含了USB设备的类型、销售商代码、产品代码、设备序列号等信息。接下来是对USB设备使用痕迹在注册表中的具体位置及意义、在日志文件中的保存形式的详细说明，所提到的内容适用于Windows 2021、Windows XP和Windows 2021操作系

统。

2.1 USB设备使用痕迹在注册表中位置

当任何一个USB接口的设备与计算机连接时，都会在HKEY_LOCAL_**********urrentControlSetEnumUSB下创建一个子键，形式为Vid_1043Pid_8012，第一个4位数字是销售商代码，由USB协会分配给各销售商；第二个4位数字是产品代码，由销售商分配给其生产的产品，这个键的子键记录的就是设备的序列号。序列号子键下有键值Driver，根据Driver的具体值可以在HKEY_LOCAL_**********urrentControlSetControlClass下找到对应GUID下的子键也记录了USB设备的使用信息；序列号子键下还有键值ClassGUID和Service，如果它们的值分别为{36FC9E60-C465-11CF-***-*****0000}、*****，说明这个设备是一个USB存储设备；如果ClassGUID的值为{4D36E96D-E325-11CE-BFC1-08002BE*****}，则说明是一个Modem设备；如果ClassGUID的值为{6bdd1fc6-810f-11d0-bec7-08002be2092f}，则说明是一个摄像头设备等等。当为非存储设备时，检查是否存在相同序列号的存储设备，如果存在，说明这是一个通过USB接口可以以不同模式也计算机连接的设备，比较常见的为手机。

USB接口的存储设备还会在HKEY_LOCAL_**********urrentControlSetEnum*****下创建子键，形式为DiskVen_GenericProd_USB_Flash_DriveRev_1.00，其子键为设备的序列号，根据其子键下Driver的键值，可以在HKEY_LOCAL_**********urrentControlSetControlClass下找到对应GUID下的子键也记录了USB存储设备的使用信息；在HKEY_LOCAL_**********urrentControlSetControlDeviceClasses{53f*****-b6bf-11d0-94f2-00a0c91efb8b}下创建子键，形式为##?#*****#DiskVen_GenericProd_USB_Flash_DriveRev_1.00#***-*****80#{53f*****-b6bf-11d0-94f2-00a0c91efb8b}；所有的USB设备还会在

HKEY_LOCAL_**********urrentControlSetControlDeviceClasses{a5dcbf10-6530-11d2-901f-00c04fb951ed}下创建子键，形式为##?#USB#Vid_1043Pid_8012#519e1f01306#{a5dcbf10-6530-11d2-901f-00c04fb951ed}，其中519e1f01306为设备的序列号,通过Windows注册表相关的API函数获取此子键的最后修改时间，即为USB设备的最后一次使用时间。

2.2 USB设备使用痕迹在日志文件中的位置

通过日志文件中记录的信息可以获取到USB设备的第一次使用时间，第一次使用时间在日志文件中的存储形式如下，USB设备的其他使用痕迹在日志文件中的存储形式与此类似。

[2021/10/28 21:00:21 1004.3 Driver Install]

#-019

#-018

正正在在查查找找硬兼件容

ID(s):

ID(s):

usb?id_05acpid_120arev_0002,usb?id_05acpid_120a

usbclass_08subclass_06prot_50,usbclass_08subclass_06,usbclass_08

#-198 处理的命令行: C:*****

#I022 在 “C:*****“ 中发现了

"USBClass_08SubClass_06Prot_50"；设备: "USB Mass Storage Device"；驱动程序: "USB Mass Storage Device"；提供程序: "Microsoft"；制造商: "兼容 USB 存储设备"；段: "*****_BULK"

#I023 实际安装部分: [*****_]。等级: 0x***-*****。驱动程序有效日期: 07/01/2021。

#-166 设备安装函数: DIF_**********ATDRV。

#I063 从 [*****_BULK] 中的 "c:" 选择驱动器安装服务。

#I320 设备的类别 GUID 依旧为: {36FC9E60-C465-11CF-***-*****0000}。

#I060 设置所选的驱动器。

#I058 选择最兼容的驱动器。

#-166 设备安装函数: DIF_**********ILES。

#I124 正在做“仅复制”安装

"USBVID_05ACPID_120AA*****DF9D38"。

#-166 设备安装函数: DIF_*****R_*****LLERS。

#I056 注册了共同安装程序。

#-166 设备安装函数: DIF_**********CES。

#-011 正在从 "c:" 安装段

[*****_aces]。

#I054 安装接口。

#-166 设备安装函数: DIF_*****DEVICE。

#I123 进行 "USBVID_05ACPID_120AA*****DF9D38" 的完整安装。

#I121 "USBVID_05ACPID_120AA*****DF9D38" 的设备安装成功完成。

3．结束语

在保密检查的过程中，可以通过检查机器上是否存在USB设备的使用痕迹来判断机器上是否曾经使用过USB设备；可以通过设备的GUID号等信息判断使用的是否为存储设备；可以获取能够对存储设备进行唯一标识的序列号，从而判断同一设备是否在涉密计算机和非涉密计算机上进行过交叉使用；可以通过日志文件及注册表键值的最后修改时间来获取USB设备的第一次使用时间和最后一次使用时间。总之，USB设备的使用痕迹跟踪记录了USB设备的使用过程，是保密检查工作中不可缺少的强有力证据。