Pratite uređaje koji su povezani u sustavu Windows

Pratite uređaje koji su povezani u sustavu Windows
Sadržaj

Kada provodimo istrage ili reviziju na računalu, jedan od važnih aspekata je znati jesu li povezani neovlašteni uređaji ili koji su se uređaji koristili, poput olovki, pisača ili drugih uređaja. Za otkrivanje ovih uređaja u sustavu Windows koristit ćemo Windows registar koji pohranjuje te podatke i omogućit će nam da utvrdimo koji uređaji su povezani, podatke o tome tko, što, gdje i kako je aktivnost provedena na računalu koje pregledavamo ili također ako imamo sliku diska poput onih koje smo vidjeli u Analyze image image with FTK Imager tutorial.

U ovom vodiču ćemo vidjeti gdje i kako pronaći povijest povezanih uređaja pomoću registra sustava Windows. Svaki put kada povežemo uređaj putem USB -a ili drugog priključka, ovaj se događaj pohranjuje u Windows registru, stoga ostavlja trag i kroz njega ćemo se usredotočiti na traženje uređaja za pohranu unutar registra.

Registar u Windows sustavu malo se razlikuje od jedne do druge verzije, ali ako istražimo bit, isti je sa gotovo svim verzijama Windows -a i drugim operativnim sustavima. Za ovaj vodič koristimo Windows 7, općenito su koraci slični za bilo koju verziju.

Prvi korak bit će otvorite RegeditTo možemo učiniti iz izbornika Windows s opcijom Pokreni ili u okviru za pretraživanje koji pišemo redegit.

Zatim pritisnemo u redu i otvorit će se Windows Registry Editor, gdje ćemo vidjeti da su ključevi registra mape u stablu ključeva, oni sadrže osim vrijednosti koje su podaci, svaki ključ može sadržavati potključeve.

Sadržaj ključevaHKEY_CLASSES_ROOTOvaj ključ sadrži podatke o registriranim aplikacijama, poput asocijacija datoteka, kako bi se utvrdilo s kojom se aplikacijom ovo proširenje koristi prema zadanim primjerima * .html prema zadanim postavkama Firefox, * .txt prema zadanim postavkama Wordpad, ondje možemo promijeniti softver s kojim se otvara ili radi prema zadanim postavkama za svako proširenje datoteke.
HKEY_USERSSadrži podatke koji odgovaraju profilu korisnika koji su prijavljeni ili aktivni na računalu, sustav je također korisnik (Zadano), iako radi automatski, ostavlja i tragove.
HKEY_LOCAL_MACHINESadrži podatke o hardveru instaliranom na računalu, većina informacija pohranjena je u RAM memoriji i samo sprema neke tragove u registar, stoga su podaci u ovom ključu promjenjivi i obnavljaju se svaki put pri ponovnom pokretanju računala.
HKEY_CURRENT_USEROvaj ključ pohranjuje podatke i postavke korisnika koji se prijavio, odnosno trenutnog korisnika.

Do pronaći trag USB uređaja za pohranu, moramo pretraživati ​​unutar registra prema sljedećem ključu: 

 HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USB
Dva potključa ControlSet001, ControlSet002 to je kopija koja se napravi kad računalo postigne uspješno pokretanje, ovaj kontrolni skup je ono što omogućuje da se utvrdi koje je zadnje podizanje bez problema ili posljednja poznata dobra konfiguracija. U ovom ključu pronaći ćemo dokaze o bilo kojem USB uređaju za pohranu koji je spojen na ovaj sustav. Na primjer, unutar USB ključa nalazimo nekoliko potključeva uređaja i možemo vidjeti da jedan od njih odgovara mobilnom telefonu Motorola XT1040 koji je u nekom trenutku spojen putem USB -a.

POVEĆAJTE

Analizirajući drugi potključ vidimo da je skener Lexmark serije X1100 povezan, ovaj uređaj je višenamjenski pisač, ali registar pokazuje da je korištena usluga usbscan, a ne usbprint.

POVEĆAJTE

S USB ključem vidjet ćemo povijest uređaja koji više nisu povezani. Da bismo vidjeli ili snimili povezane uređaje, moramo pogledati potključ: 

 HK_LOCAL_MACHINE \ System \ ControlSet001 \ Enum \ USBSTOR

POVEĆAJTE

U tom slučaju možemo vidjeti Kingstonov pendrive spojen na računalo. Ako se uređaj ukloni, potključ će ostati registriran u USBSTOR -u sve dok se računalo ne isključi, ali će zapis ostati u USB ključu.
Potražite uređaje koji su montirani na sustav.

Ako korisnik koristi bilo koji hardverski uređaj koji mora biti montiran, poput vanjskog DVD playera, vanjskog tvrdog diska, flash memorije, registar će ostaviti trag montiranog uređaja. Ovi se podaci spremaju u potključ: 

 HKEY_LOCAL_MACHINE \ Sustav \ Montirani uređaji
U nastavku možemo vidjeti popis svih uređaja koji su montirani ili montirani na računalo, pogona C: D: i F: Ako dvaput kliknemo na pogon D, vidjet ćemo da se radi o CD ROM -u spojenom s VirtualBox -a, a ako isto učinimo i s pogonom F vidjet ćemo da je to Kingston pendrive koji je u neko vrijeme bio spojen.

Ako ne možemo utvrditi o kojem se uređaju radi, možemo povezati uređaje ključa MountDevices gledajući ključ u binarnom obliku, a zatim taj jedinstveni ID koji tražimo u drugim potkalinama. Jedan alat koji možemo koristiti je USBViewer, koji je jednostavan i prenosiv alat koji nudi mogućnost pregledavanja informacija o USB uređajima koji su trenutno i prethodno bili spojeni na računalo.

POVEĆAJTE

Windows registar omogućuje čuvanje povijesti događaja o onome što se dogodilo u Windows sustavu koristeći različite tehnike i postupke, možemo rekonstruirati činjenice i odrediti elemente koji su korišteni.

Vi ćete pomoći u razvoju web stranice, dijeljenje stranicu sa svojim prijateljima

wave wave wave wave wave

Popularni Postovi

wave
1
post-title
Razvoj izvornih aplikacija za Android s Netbeansom
2
post-title
Kako ukloniti vibracije tipkovnice Xiaomi Mi Mix 2
3
post-title
Api-ms-win-crt-runtime-l1-1-0.dll nedostaje pogreška prilikom instaliranja ili pokretanja programa
4
post-title
Kako napraviti snimku zaslona na Xiaomi Mi 8 Pro
5
post-title
Pratite mrežni promet Ubuntu pomoću naredbi vnStat i vnStati

Preporučeno

wave
- Sponsored Ad -

Izbor Urednika

wave
- Sponsored Ad -