Các sự kiện rút phích cắm USB đã đăng nhập trong Windows 7? (Khi nào con chuột của tôi bị đánh cắp?)

19

Tôi biết điều này nghe có vẻ vô lý, nhưng ai đó đã đánh cắp con chuột của tôi từ tủ của tôi .. Tôi đến làm việc vào buổi sáng và chuẩn bị cho con chuột của tôi một chút để đánh thức màn hình, nhưng nó không ở đó!

Tôi đang cố gắng tìm hiểu khi điều này xảy ra. Tôi đang chạy Windows 7 và đó là chuột USB. Tôi đã kiểm tra nhật ký sự kiện, nhưng dường như không có bất kỳ nhật ký nào có thể cho tôi biết những gì tôi đang tìm kiếm.

Có nơi nào mà các sự kiện rút phích cắm USB được ghi lại không?

windows-7  windows  usb  mouse  event-log 
pepsi
nguồn
7
Nhật ký sự kiện của tôi được gọi là camera an ninh.
Bart Silverstrim
3
Tôi thường tìm thấy những con chuột bị mất trong máy sấy.
GregD
2
Đặt bẫy, mua một camera ẩn và một con chuột đẹp hơn để cám dỗ kẻ trộm một lần nữa.
Moab
2
Tôi thích câu hỏi này, rất thích xem nó trả lời ...
studiohack
3
thủ phạm đã từng bị bắt?
vẽ

Câu trả lời:

5

Thật không may là một bản ghi của họ không may - những sự kiện đó bị mất mãi mãi. Tôi đã luôn muốn dmesgtương đương trên Windows.

Với Windows XP trở về trước, bạn có thể sử dụng winmsdđể tạo đầu ra cấu hình hệ thống, nhưng trong các phiên bản sau, nó đã được thay thế bằng msinfo32(ứng dụng GUI mà tôi không chắc chắn về việc phân tích đầu ra của).

Cả hai đều chỉ cung cấp cho bạn thông tin theo thời gian, vì vậy đối với công việc thám tử trộm chuột, bạn cần phải thường xuyên ghi nhật ký đầu ra của winmsdmột tệp. Tôi phải thừa nhận cá nhân tôi sẽ đi với đề xuất webcam trong tương lai.

Simon
nguồn
Nhưng liệu "chương trình Windows" có thể làm được không? Hoặc là chức năng chỉ không có sẵn trong Windows (vì vậy các chương trình không có khả năng để làm như vậy)?
Pacerier
2
Trên thực tế, có một tệp nhật ký cho việc này. Nó được gọi là Microsoft-Windows-DriverFrameworks-UserMode-Operational.evtx nhưng nó bị tắt theo mặc định trên Win10.
StackzOfZtuff
7

Bây giờ có thể là quá muộn, nhưng có một vài phần mềm sẽ làm chính xác điều đó. Cách dễ nhất để sử dụng là USBLogView

Các tùy chọn khác, không thân thiện lắm, là Windows USB Storage Parser hoặc USBView của Microsoft (UVCView trên Win7), đi kèm với Windows Driver Kit (WDK).

Nếu bạn thực sự muốn làm bẩn tay, hãy mở RegEdit và tìm các mục sau:

Mô tả : Danh sách các thiết bị USB đã cài đặt, cả được kết nối và không được kết nối Vị trí : HKEY_LOCAL_MACHINE \ HỆ THỐNG \ CurrentControlSet \ Enum \ USB Tại sao bạn quan tâm : Có thể hữu ích khi biết thiết bị USB nào được kết nối với hộp và thậm chí cả nhà cung cấp và số sê-ri của thiết bị trong một số trường hợp. Nghĩ rằng ai đó đã sao chép dữ liệu vào một ngón tay cái? Điều này có thể giúp bạn tìm ra những gì ngón tay cái. Hãy nghĩ rằng nó hữu ích như thế nào khi giúp buộc thứ gì đó mà người dùng sở hữu vào một cái hộp.

Mô tả : Danh sách các thiết bị lưu trữ USB đã cài đặt Vị trí : HKEY_LOCAL_MACHINE \ HỆ THỐNG \ CurrentControlset \ Enum \ USBSTOR Tại sao bạn quan tâm : Giống như mục nhập thiết bị USB đã cài đặt, nhưng chỉ dành cho lưu trữ USB. Nghĩ rằng ai đó đã sao chép dữ liệu vào một ngón tay cái? Điều này có thể giúp bạn tìm ra những gì ngón tay cái. CleanAfterMe sẽ xóa HKEY_LOCAL_MACHINE \ HỆ THỐNG \ CurrentControlset \ Enum \ USB nhưng không phải USBSTOR khi tôi thử nghiệm lần cuối.

Gaia
nguồn
1
Theo dõi các khóa đó bằng Procmon.exe từ SysIternals đã làm chính xác những gì tôi cần.
Doug Wilson
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.