Computer Forensics: Trích lục các kết nối USB đã gắn vào máy tính của bạn

Thảo luận trong 'Infrastructure security' bắt đầu bởi Thriuenug, 28/05/20, 08:05 PM.

  1. Thriuenug

    Thriuenug Moderator Thành viên BQT

    Tham gia: 29/08/19, 03:08 AM
    Bài viết: 31
    Đã được thích: 15
    Điểm thành tích:
    8
    Để phục vụ cho quá trình điều tra xử lý sự cố, sẽ có đôi lúc bạn cần xác định những thiết bị USB nào đã kết nối tới máy tính của bạn. Hoặc đơn giản sau 1 khoảng thời gian đi vắng bạn nhận thấy máy tính của mình có đôi chút khác so với trước, bạn tò mò, muốn tìm hiểu, trích lục các kết nối USB gắn vào máy tính.

    Nếu mục đích của bạn là kiểm tra lịch sử thiết bị được kết nối USB trên máy tính thì chúc mừng bạn. Mình có 1 số cách như dưới, bạn đọc có thể tham khảo.

    Cách 1: Sử dụng Registry trên Windows

    BƯỚC 1: Windows+R (Run) và gõ “regedit”.

    BƯỚC 2: Trong regedit, theo đường dẫn: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
    0.PNG
    BƯỚC 3: Khi bạn click vào USBSTOR, bạn có thể nhận được danh sách tất cả các thiết bị USB đã được kết nối với máy tính của bạn.
    1.png
    Tại đây, chúng ta có thể nhận thấy có nhiều thiết bị USB đã được kết nối với máy tính này. Nhưng chưa cho bạn biết chúng là thiết bị nào. Để tìm hiểu, làm bước tiếp theo

    BƯỚC 4: Nhấp vào thư mục bạn muốn kiểm tra, xem phần “FriendlyName” bạn sẽ thấy đó là thiết bị nào.
    2.PNG
    Cách 2: Xem trên Windows PowerShell

    BƯỚC 1: Windows+R (Run) và gõ “Windows PowerShell”.

    BƯỚC 2: Lấy thuộc tính FriendlyName trong USBTOR và gõ lệnh

    Get-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\* | Select FriendlyName

    ta có kết quả như hình dưới.
    3.PNG
    Cách 3: Sử dụng các phần mềm trích lục
    Có 4 phần mềm phổ biến như

    - USBDeview (https://www.nirsoft.net/utils/usb_devices_view.html)

    - Small Usb History Viewer (https://sourceforge.net/projects/smallusbhistory/)

    - USB History Viewer (http://www.intelliadmin.com/USBHistoryView.exe)

    - USB Detective (https://usbdetective.com/)

    Nhưng ở đây mình sẽ đề cập đến USBDeview, vì khá dễ sử dụng.

    Sau khi cài đặt phần mềm, ta sẽ có giao diện như hình dưới.
    4.PNG
    Giao diện phần mềm hiển thị khá đầy đủ các thông tin USB đã từng kết nối tới máy tính của bạn
    các thông tin như: Tên thiết bị/ Loại thiết bị / Ngày, giờ thiết bị được thêm vào / …

    Ngoài ra USBDeview cho phép bạn gỡ cài đặt các thiết bị USB mà bạn đã sử dụng trước đó, ngắt kết nối với các thiết bị USB hiện đang kết nối với máy tính, cũng như vô hiệu hóa và kích hoạt các thiết bị USB.

    Hi vọng bài viết này bổ ích cho các bạn.

    Thriuenug
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    Thriuenug, 28/05/20, 08:05 PM
    #1
    WhiteHat News #ID:2017, Sugi_b3o and WhiteHat News #ID:2018 like this.
  1. natuanhn
    Chủ đề

    Xóa lịch sử truy cập mạng của máy tính

    Mình post ở đây không biết có phải không, có gì mod thông cảm. Tình hình là máy tính ở cơ quan mình cấm truy cập internet, nhưng thời buổi thông...
    Chủ đề bởi: natuanhn, 26/07/18, 11:07 PM, 19 lần trả lời, trong diễn đàn: Tools
Tags: