Member 12937061 Ответов: 1

Есть USB-устройства регистрации сигналов с фиксацией времени?

Привет,

Я просто задаюсь вопросом о USB-соединении, если я выключу компьютер и подключу USB в положение PC off, а после этого запустлю компьютер, зарегистрирует ли компьютер, что USB подключен в сценарии запуска, и где будет зарегистрирован в windows?

Я хотел бы знать, покинул ли мой USB-накопитель мой компьютер или был вставлен в мой компьютер на эту дату, 20161026 int 20161124 any driver log, нужна помощь, чтобы найти его след.
Может быть, журнал водителя?

Это немного сложно ... не так хорошо на компьютере, является ли log paser программой загрузки?
Значит, драйвер для USB-это не решение для поиска?

С уважением

Андерс

Что я уже пробовал:

Бесплатная посуда USB forencis, но я не буду получать всю историю марки.

Member 12937061

Видел в повторе answear, sandisk немного starnge, чтобы увидеть в той ссылке, которую вы посылаете mee Jochen.
И это сандиск, я проверю.

1 Ответов

Рейтинг:
1

Jochen Arndt

Первоначальное обнаружение устройства выполняется USB-концентраторами. Когда устройство подключается к нижестоящему порту концентратора, оно изменяет уровень линии передачи данных, который обнаруживается концентратором, сохраняется и сигнализируется хосту. Затем хост связывается с концентратором для выполнения дальнейшей инициализации устройства. Как только это будет сделано, хост сможет напрямую общаться с устройством.

При включении компьютера он работает точно так же. Как только концентратор будет включен, он включит питание на USB-линиях, что позволит подключенным устройствам включиться и зарегистрироваться на концентраторе. Затем хост запрашивает концентратор для подключенных устройств и начинает дальнейшую инициализацию.

При включении питания начальная настройка выполняется не операционной системой, а BIOS (например, для изменения параметров BIOS с помощью USB-клавиатур и мышей).

Позже операционная система при запуске будет взаимодействовать со всеми концентраторами, посылая команды сброса для запуска повторной инициализации для каждого уже подключенного устройства.

Такой сброс можно сделать в любое время (повторное сканирование USB-устройств).

Нет никакого конкретного регистра временных меток. Это зависит от программного обеспечения, управляющего хостом (BIOS и операционной системой), чтобы хранить время событий.

Смотреть также USB.org -Документы[^] и USB в двух словах-Глава 1-Введение[^] .

Afzaal Ahmad Zeeshan

5ед.

Member 12937061

Привет,

Мне интересно узнать, покинул ли мой USB-накопитель мой компьютер с 20161026 по 20161124 год, можно ли прочитать журнал, когда приходит рутина драйвера, отметка времени для него в windows?
Может быть, у вас есть еще один совет?

Jochen Arndt

Некоторые операции (особенно для USB - устройств памяти) регистрируются Windows в журнале событий Microsoft - Windows-DriverFrameworks - UserMode-Operational (Win 7).

Установка новых устройств регистрируется в разделе Установка.

Может быть, этот блог-хорошая отправная точка (большинство из них также должны претендовать на победу 10):
http://dfstream.blogspot.de/2014/01/the-windows-7-event-log-and-usb-device.html

Если вам нужно регистрировать все подключаемые и отключаемые события, то решением может быть написание службы или небольшого приложения, которое автоматически запускается, Регистрация событий и запись их в ваш собственный файл журнала.

Member 12937061

Но была небольшая проблема, sandisk было немного сложно увидеть.
Я запускаю orionforensics и пытаюсь использовать sandisk, который регистрируется, когда я вставляю USB с работающим ПК, но если я подключаю USB in off и после запуска ПК он не будет регистрироваться.
Попробуйте использовать другой USB-накопитель и регистратор it в обоих сценариях.
И знаете почему?

Jochen Arndt

Извините, я не знаю почему (вероятно, только мисс будет знать).

Но я могу догадаться, что подключаемое событие обрабатывается иначе, чем устройство, подключенное уже при включении питания (по крайней мере, в отношении регистрации).

Member 12937061

Хорошо, если вы обнаружите что-то еще, где я могу найти другие следы, чтобы узнать свое чудо, пожалуйста, дайте мне знать.
Очень хочу знать.