Windows系统USB历史痕迹分析.pdfVIP

· 软件透视 Windows系统USB历史痕迹分析 一 王 雷 冷 静 陈亚峰 摘 要：在对于终端系统信息安全保密技术要求中，禁止违规使用usB设备是一项基本要求，但实际工作中为了便利性，系统都存 在大量usB违规使用记录，本文是将如何在windows系统内usB使用历史记录发现方法做一定介绍。 关键词：usB历史痕迹；USB驱动记录 UniversalSerialBUS(通用串行总线)是Intel、 备生产商PVID在前。 Microsoft等大厂商为解决计算机外设种类的日益增加与有 记录形成机制 限的主板插槽和端 口之间的矛盾而于1995年提出制定的。它 当USB存储设备通过USB接口连接~OWindowS系统时，操 是一种用于将适用USB的外围设备连接到主机的外部总线结 作系统查找新硬件的附加信息，驱动器就会寻求这个设备的 构。 确切描述符，以确定设备的制造商、版本号、设备种类以及其 USB显著优点就是支持热插拔，理论上可以支持127个 他信息。如果USB集线器驱动发现一个新的USB设备连接到这 装置。最新版本的USB3．0最大传输速率5Gbps，向下兼容USB 个系统，系统就会试图恢复这个设备的确切描述符。基于从 1．o／1．1／2．0。 这个设备上恢复描述符，Windowsg~ 按照如下格式创建设备 当一个USB存储设备连接到一个Windows系统时，这个系 实例标识符 (设备ID)：USB~VIDv(4)PID．d(4)＆REv_r。 统上的驱动器会收集这个设备的信息，然 后它会利用这些信息在这个系统上建立 一 个独立的历史记录。这个信息被固存在 这个系统中，而且大多数情况下在其他的 Windows系统下这个信息也是一样的。这 些历史记录可以延续连接在这个系统上的 USB存储设备的使用时间线，还可以证明 这个设备曾连接到其他的Windows系统。 这个信息可以用来进一步进行计算机取 证调查并且记录下来。 根据USB规范的规定，所有的USB设备 都有供应商ID(VID)和产品识别码 (PID)，主机通过不同的 即插即用管理器就会访问注册表以定位即插即用设备的 VID和PID来区别不同的设备，VID~NPID都是两个字节长，其 inf文件即设备驱动程序文件。 中，供应商ID(VID)由供应商向USB执行论坛申请，每个供应 这个注册表键是： HKEY LOCAL 商的VID是唯一的，PID由供应商 自行决定，理论上来说，不同 — MACHINE＼Software＼MicrosoftWindows＼ 的产品、相同产品的不同型号、相同型号的不同设计的产品最 CurrentVersion。 好采用不同的PlD，以便区别相同厂家的不同设备。VID和PID 即插即用管理器会根据设备范例ID和兼容ID寻找设备路 通常情况下有两种存储方式，第一种是主控生产商的VID和 径注册表键中所列出的相应驱动的路径，然后在0~00xFFFF PID，存储在主控的bootcode中；第二种是设备生产商的VID 之间对发现的驱动进行排序。序号最低的驱动就会被安装， *~PID，存储在主控外部EEPROM设备固件中。通常情况下，设 即装载。usbstor．inf文件明确地列出了操作系统所支持的设 备ID。如果从设备描述中所获取的描述与usbstoninf文件中 收稿日期：2010—08-23 的任何一个相匹配，操作系统就会装载usbstor．inf驱动。一 作者简介：王雷、冷静、陈亚峰，江苏国瑞信安科技有限公司。 旦驱动被装载，系统就会为每一个设备逻辑单元创建一个新 (下转第55页) 36日圜曰圆