Thriuenug
VIP Members
-
29/08/2019
-
21
-
43 bài viết
Computer Forensics: Trích lục các kết nối USB đã gắn vào máy tính của bạn
Để phục vụ cho quá trình điều tra xử lý sự cố, sẽ có đôi lúc bạn cần xác định những thiết bị USB nào đã kết nối tới máy tính của bạn. Hoặc đơn giản sau 1 khoảng thời gian đi vắng bạn nhận thấy máy tính của mình có đôi chút khác so với trước, bạn tò mò, muốn tìm hiểu, trích lục các kết nối USB gắn vào máy tính.
Nếu mục đích của bạn là kiểm tra lịch sử thiết bị được kết nối USB trên máy tính thì chúc mừng bạn. Mình có 1 số cách như dưới, bạn đọc có thể tham khảo.
Cách 1: Sử dụng Registry trên Windows
BƯỚC 1: Windows+R (Run) và gõ “regedit”.
BƯỚC 2: Trong regedit, theo đường dẫn: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
BƯỚC 3: Khi bạn click vào USBSTOR, bạn có thể nhận được danh sách tất cả các thiết bị USB đã được kết nối với máy tính của bạn.
Tại đây, chúng ta có thể nhận thấy có nhiều thiết bị USB đã được kết nối với máy tính này. Nhưng chưa cho bạn biết chúng là thiết bị nào. Để tìm hiểu, làm bước tiếp theo
BƯỚC 4: Nhấp vào thư mục bạn muốn kiểm tra, xem phần “FriendlyName” bạn sẽ thấy đó là thiết bị nào.
Cách 2: Xem trên Windows PowerShell
BƯỚC 1: Windows+R (Run) và gõ “Windows PowerShell”.
BƯỚC 2: Lấy thuộc tính FriendlyName trong USBTOR và gõ lệnh
Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\* | Select FriendlyName
ta có kết quả như hình dưới.
Cách 3: Sử dụng các phần mềm trích lục
- USBDeview (https://www.nirsoft.net/utils/usb_devices_view.html)
- Small Usb History Viewer (https://sourceforge.net/projects/smallusbhistory/)
- USB History Viewer (http://www.intelliadmin.com/USBHistoryView.exe)
- USB Detective (https://usbdetective.com/)
Nhưng ở đây mình sẽ đề cập đến USBDeview, vì khá dễ sử dụng.
Sau khi cài đặt phần mềm, ta sẽ có giao diện như hình dưới.
Giao diện phần mềm hiển thị khá đầy đủ các thông tin USB đã từng kết nối tới máy tính của bạn
các thông tin như: Tên thiết bị/ Loại thiết bị / Ngày, giờ thiết bị được thêm vào / …
Ngoài ra USBDeview cho phép bạn gỡ cài đặt các thiết bị USB mà bạn đã sử dụng trước đó, ngắt kết nối với các thiết bị USB hiện đang kết nối với máy tính, cũng như vô hiệu hóa và kích hoạt các thiết bị USB.
Hi vọng bài viết này bổ ích cho các bạn.
Nếu mục đích của bạn là kiểm tra lịch sử thiết bị được kết nối USB trên máy tính thì chúc mừng bạn. Mình có 1 số cách như dưới, bạn đọc có thể tham khảo.
Cách 1: Sử dụng Registry trên Windows
BƯỚC 1: Windows+R (Run) và gõ “regedit”.
BƯỚC 2: Trong regedit, theo đường dẫn: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
BƯỚC 4: Nhấp vào thư mục bạn muốn kiểm tra, xem phần “FriendlyName” bạn sẽ thấy đó là thiết bị nào.
BƯỚC 1: Windows+R (Run) và gõ “Windows PowerShell”.
BƯỚC 2: Lấy thuộc tính FriendlyName trong USBTOR và gõ lệnh
Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\* | Select FriendlyName
ta có kết quả như hình dưới.
Có 4 phần mềm phổ biến như- USBDeview (https://www.nirsoft.net/utils/usb_devices_view.html)
- Small Usb History Viewer (https://sourceforge.net/projects/smallusbhistory/)
- USB History Viewer (http://www.intelliadmin.com/USBHistoryView.exe)
- USB Detective (https://usbdetective.com/)
Nhưng ở đây mình sẽ đề cập đến USBDeview, vì khá dễ sử dụng.
Sau khi cài đặt phần mềm, ta sẽ có giao diện như hình dưới.
các thông tin như: Tên thiết bị/ Loại thiết bị / Ngày, giờ thiết bị được thêm vào / …
Ngoài ra USBDeview cho phép bạn gỡ cài đặt các thiết bị USB mà bạn đã sử dụng trước đó, ngắt kết nối với các thiết bị USB hiện đang kết nối với máy tính, cũng như vô hiệu hóa và kích hoạt các thiết bị USB.
Hi vọng bài viết này bổ ích cho các bạn.
Thriuenug