首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]USB记录到底藏在哪 0.00雪花
发表于: 2011-7-24 20:40 1647

[旧帖] [求助]USB记录到底藏在哪 0.00雪花

amoscrack 活跃值
2011-7-24 20:40
1647
单位规定不允许使用USB,之前一直使用USBClear一类的工具清除就查不到了,或者手动清除注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\中的USB和USBSTOR,但是,最近单位最新开发出一种工具,可以查出删除的所有记录,还能查出删除时间,烦近指点,这些记录从哪查出来的?是还原出来的?还是另有地方隐藏啊,另外单位的工具不方便提供,请谅解。

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (5)
loongzyd
雪    币: 1015
活跃值: (235)
能力值: ( LV12,RANK:440 )
在线值:
发帖
回帖
粉丝
私信
2
从楼主的叙述来看,那个工具应该是个类似注册表监控的软件吧= =
楼主看来"不老实"哈,单位不让用还用,还把工具都搞到了
2011-7-25 09:43
0
hahu
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
这个真不明白啊,因为没有使用过的啦!
2011-7-25 12:42
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
4
把工具共享出来,就有人给答案了
不会是什么万&q 里* 红吧?
2011-7-25 16:40
0
快雪时晴
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
5
U盘操作记录位置:

    + 所有的系统配置:HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXXX下的:
      - Deviceclasses设备痕迹
      - USB大容量存储设备“usbstor”驱动和USBFlags痕迹
      - USBSTOR相关设备驱动痕迹
      - USBSTOR设备痕迹
      - USB通用卷“volume”驱动痕迹
      - RemovableMedia设备痕迹
      - 移动硬盘volume痕迹
      - UMB设备与痕迹
      - USBSTOR服务痕迹
   + 所有用户配置下的:
     - SetupAPI.log文件痕迹
     - 挂载点“MountPoints”痕迹
     - “DREDGE”痕迹
     - “EMDMgmt”痕迹
     - “Portable Devices”痕迹
2011-7-25 16:43
0
pachelbel
雪    币: 55
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
会不会是注册表沙盘这类软件呢?
regsnap
2011-7-25 23:48
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//