电⼦数据取证技术应⽤--USB存储设备使用痕迹分析.pptVIP

USB存储设备使用痕迹分析电子数据检验

目标Objectives要求了解提取USB存储设备使用痕迹的技术原理；了解分析USB存储设备使用痕迹的方法。

USB存储设备使用痕迹分析一、基本概念USB存储设备，例如优盘、移动硬盘、各种闪存卡等，凭借其容量大、体积小、传输速度快、易于携带等特点，已成为广泛使用的主流存储介质。然而由于USB存储设备过于随意使用，导致利用它连接计算机，窃取商业资料、复制传递机密数据，传播恶意代码等违法犯罪活动越来越多。在这种背景下，如何对计算机上曾使用过的USB存储设备的痕迹进行提取和分析，成为电子数据取证实践中的一项重要任务。第3章电子数据检验

USB存储设备使用痕迹分析二、技术原理在Windows操作系统中，当USB存储设备接入计算机时，对应的注册表键值和系统日志文件都会自动更新其记录来反映这次连接。在不同的计算机操作系统中，这些记录中的标识符信息是独一无二的，具有唯一认定性。因此，电子数据取证人员可据此确定哪些USB设备、什么时间是否连接过计算机，从而为司法活动中的某些证据要素提供支持和帮助。USB存储设备的设备识别信息USB存储设备出厂时会有一个唯一的硬件ID，类似“USB\VID_XXXPID_XXX\XXX”，其中VID是生产商代码，PID是产品类代码，最后是USB存储设备的序列号。第3章电子数据检验

USB存储设备使用痕迹分析三、注册表中