当某人将USB设备连接到Windows计算机或从Windows计算机上拔下USB设备时记录

10

目前我正在试图找到一种方法来记录所有的从我们所有的网络上的Windows机器的连接和USB设备断线。此信息需要自动记录到计算机上的文件中,然后nxlog可以读取此文件,然后将其发送到我们的集中式日志记录平台进行处理。我希望Windows日志会自动记录此信息,但是我发现虽然有关USB可移动存储的某些信息似乎已记录到事件查看器中,但这是非常有限的信息,并且当USB键盘和鼠标处于活动状态时不会显示这些信息。连接和断开连接。

经过一番挖掘后,我发现nirsoft编写了一个小型exe文件,它完成了许多艰苦的工作,USBLogView无需安装即可运行,并且每次USB设备连接到计算机或与计算机断开连接时便会记录日志。这样做的问题是,尽管您可以选择日志条目并手动将其选择为服务,但我看不到任何将其作为服务运行的方法,也看不到任何方法来自动将其输出的信息记录到日志文件中。保存到日志文件。

我可以使用组策略来创建exe文件的本地副本,然后以某种方式强制该exe在启动过程中运行,但是仍然无法解决无法将日志自动写入文件的主要问题。我还需要确保用户无法关闭该程序,这是我自己启动该程序时可能的情况,理想情况下,将其隐藏并且不显示托盘图标将是设置该程序的最佳方法。向上(但是当我尝试使用隐藏设置时,在我看来它既可以显示在主窗口中,也可以仅显示系统托盘图标)。我浏览了该网站,但没有看到任何方法来调用该程序并带有告诉它执行此操作的选项。上周,我还给nirsoft发了电子邮件,以查看他们是否有任何建议,但我仍在等待答复。

有人有其他替代方法可以做到这一点吗?任何建议或帮助欢迎!谢谢

windows  usb  logging 
隆隆声
source

Answers:

2

有付费的解决方案,例如。由CoSoSys提供的EndProtection4。不知道它在设备上安装的代理内部如何工作,但是它为您提供了所插入设备的所有信息。您需要一个管理客户端的服务器端,因为这是管理对设备访问的软件。同样适用于Mac和Linux。

巴托斯·德布斯基
source
3

USB设备的连接和断开连接记录在“事件日志”中。

引用以下详细说明(“ Digital Forensics Stream”博客,2014年1月2日,Windows 7事件日志和USB设备跟踪):

连接事件ID
当USB可移动存储设备连接到Windows 7系统时,应在Microsoft-Windows-DriverFrameworks-UserMode / Operational事件日志中生成许多事件记录。这些记录包括事件ID为2003、2004、2005、2010、2100、2105等的事件。...

断开连接事件ID
当USB拇指驱动器与Windows 7系统断开连接时,应在与连接事件相同的事件日志中生成一些事件记录。断开USB设备连接时,可能会生成事件ID为2100、2102,甚至可能更多的记录。...

为了自动从事件日志中导出,Microsoft免费提供了logparser

沼泽摆动
source
2
感谢您的答复,但是正如我在问题中说的那样,事件查看器显示的是何时连接USB存储设备,而不是键盘等USB设备。我想收集所有USB设备的信息,而不仅仅是USB存储设备。
2014年
@Rumbles您确定要查看正确的日志吗?上面命名的日志不是“常规”日志之一。另一方面,上面命名的日志将仅包含由UMDF驱动程序处理的设备的信息。不是KMDF驱动程序,也不是非框架驱动程序。
Jamie Hanrahan
1
我无法确认,这是我一段时间没有
去找
启用此日志时,我能够看到存储设备,但看不到USB鼠标。
泰勒·萨博
0

我会尝试使用诸如AutoIT之类的工具。

$vFile = FileOpen("usb.txt", 2)

Local $vObjWMI = ObjGet("winmgmts:\\" & @ComputerName & "\root\cimv2")

$vObjItems = $vObjWMI.ExecQuery('SELECT * FROM Win32_DiskDrive')
If IsObj($vObjItems) Then
    For $vObjItem In $vObjItems
        If StringInStr($vObjItem.Caption, "USB") Then
            FileWriteLine($vFile, $vObjItem.Caption & @CRLF)
            FileWriteLine($vFile, $vObjItem.DeviceID & @CRLF & @CRLF)
        EndIf
    Next
EndIf

FileClose($vFile)

ShellExecute("usb.txt")

来自AutoIT论坛的论坛帖子位于此处:http ://www.autoitscript.com/forum/topic/155213-detect-usb-devices-connected/?p=1121434

莱利·查尔兹(Riley Childs)
source
0

使用regedit并查看以下registry项目: HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\。有关某些详细信息,请打开PowerShell并运行: 

$Path = 'HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\*\*'
Get-ItemProperty -Path $Path | Select-Object -Property FriendlyName, CompatibleIDs, Mfg

或在此处查看日志文件:C:\Windows\inf\setupapi.dev.log

有关更多技术细节,请参阅Nicoles Blog

not2qubit
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.