Регистрируются ли события отключения USB в Windows 7? (Когда была украдена моя мышь?)

19

Я знаю, это звучит немного смешно, но кто-то украл мою мышь из моей кабины ... Я пришел на работу утром и уже собирался слегка подтолкнуть мою мышь, чтобы разбудить монитор, но его там не было!

Я пытаюсь выяснить, когда это произошло. Я использую Windows 7, и это USB-мышь. Я проверил журналы событий, но, похоже, нет журналов, которые могли бы сказать мне, что я ищу.

Есть ли место, где регистрируются события отключения USB?

пепси
источник
7
Мой журнал событий называется камерой безопасности.
Барт Сильверстрим
3
Я обычно нахожу пропавших мышей в сушилке.
GregD
2
Установите ловушку, купите скрытую камеру и более приятную мышь, чтобы снова похитить вора.
Моав
2
Мне нравится этот вопрос, хотелось бы, чтобы на него ответили ...
studiohack
3
был ли преступник когда-либо пойман?
Дрю

Ответы:

5

К сожалению, их нет - эти события потеряны навсегда. Я всегда хотел dmesgэквивалент на Windows.

В Windows XP и более ранних winmsdверсиях вы можете использовать для создания вывода конфигурации системы, но в более поздних версиях он был заменен на msinfo32(приложение с графическим интерфейсом, в котором я не уверен, что проанализировал вывод).

Оба из них дают вам информацию только на определенный момент времени, поэтому для детективной работы, связанной с кражей мыши, вам необходимо регулярно регистрировать выходные данные winmsdв файл. Я должен признать, что я лично согласился бы с предложением веб-камеры в будущем.

Саймон
источник
Но возможно ли это для программы Windows? Или эта функциональность просто недоступна в Windows (поэтому программы не имеют возможности сделать это)?
Pacerier
2
На самом деле, есть файл журнала для этого. Он называется Microsoft-Windows-DriverFrameworks-UserMode-Operational.evtx, но по умолчанию он отключен в Win10.
StackzOfZtuff
7

Сейчас может быть слишком поздно, но есть пара программ, которые сделают именно это. Самым простым в использовании является USBLogView

Другими вариантами, не такими дружественными, являются парсер USB-накопителя Windows или USBView от Microsoft (UVCView на Win7), который поставляется с Windows Driver Kit (WDK).

Если вы действительно хотите испачкать руки, откройте RegEdit и найдите следующие записи:

Описание : список установленных USB-устройств, как подключенных, так и не подключенных. Расположение : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB. Почему это важно : может быть полезно узнать, какие USB-устройства подключены к коробке, и даже производителя и серийный номер устройства в некоторых случаях. Думаете, кто-то скопировал данные на флэш-накопитель? Это может помочь вам отследить, какой флэш-накопитель. Подумайте, насколько полезно помочь привязать что-то, чем обладает физический пользователь, к коробке.

Описание : список установленных USB-устройств хранения. Расположение : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR. Почему это важно : аналогично записи об установленных USB-устройствах, но только для хранения USB. Думаете, кто-то скопировал данные на флэш-накопитель? Это может помочь вам отследить, какой флэш-накопитель. CleanAfterMe очищает HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB, но не USBSTOR, когда я тестировал в последний раз.

Gaia
источник
1
Мониторинг этих ключей с помощью Procmon.exe из SysInternals сделал именно то, что мне нужно.
Даг Уилсон