Всеки път, когато включите USB устройство в компютър с Windows, операционната система създава постоянен запис в системния регистър. Този механизъм позволява на устройството да бъде разпознато мигновено при следващо свързване, без повторна инсталация на драйвери.
Тези записи са практически неизличими при обикновена употреба и остават в системата след рестарт или актуализации, което ги прави безценен източник на доказателства при криминалистични разследвания (forensics).
Основното хранилище на тази информация е Windows Registry. Ключът HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR съдържа детайлен списък на всички външни дискове и флашки, докато USB ключът проследява периферия като мишки и уеб камери. За по-модерни устройства, като смартфони и таблети, операционната система използва пътя SWD\WPDBUSENUM, където се съхраняват данни за връзки чрез MTP протокол.
Идентификацията на устройствата се базира на три основни елемента: Vendor ID (VID), Product ID (PID) и сериен номер. Експертите обръщат специално внимание на т.нар. „парадокс на серийните номера“.
Ако вторият символ в номера е амперсанд (&), това означава, че устройството няма уникален хардуерен идентификатор и Windows е генерирал собствен код, обвързан с конкретния USB порт. Поради риск от неточности, специалистите често наричат тези стойности WADID (Windows Assigned Device ID).
За изграждане на точна хронология разследващите анализират специфични времеви отпечатъци (timestamps) като InstallDate (първоначална инсталация), LastArrivalDate (последно включване) и LastRemovalDate (последно изваждане). Тези данни често се допълват от лог файла setupapi.dev.log, който записва хронологично всяко събитие по инсталиране на драйвери.
Анализът може да се извърши ръчно чрез Registry Editor или с автоматизирани инструменти. Професионалистите често използват софтуер като USBDeview или USBDriveLog на NirSoft, които представят историята в удобен табличен вид. За напреднали проверки се използва Event Viewer, където събития с ID 2003 и ID 2102 маркират моментите на свързване и разкачване на устройствата.
Възможно е дори да се докаже, че конкретен файл е бил отворен от определена флашка чрез съпоставяне на Volume Serial Number (VSN). Този уникален номер се записва в LNK файловете и списъците Jump Lists на Windows. За потребителите, които искат да заличат тези следи от съображения за поверителност, съществуват специализирани инструменти като USBOblivion, които напълно почистват системния регистър от историята на USB устройствата.
Как те кара да се чувстваш тази история?
Google News