Czy zdarzenia odłączenia USB są rejestrowane w Windows 7? (Kiedy moja mysz została skradziona?)

19

Wiem, że to brzmi trochę absurdalnie, ale ktoś ukradł moją mysz z mojej kabiny .. Przyszedłem rano do pracy i chciałem trochę przesunąć myszką, aby obudzić monitor, ale go nie było!

Próbuję dowiedzieć się, kiedy to się stało. Korzystam z systemu Windows 7 i jest to mysz USB. Sprawdziłem dzienniki zdarzeń, ale wydaje się, że nie ma żadnych dzienników, które mogłyby powiedzieć mi, czego szukam.

Czy jest jakieś miejsce, w którym rejestrowane są zdarzenia odłączenia USB?

windows-7 windows usb mouse event-log pepsi
źródło
7
Mój dziennik zdarzeń nazywa się kamerą bezpieczeństwa.
Bart Silverstrim
3
Na ogół w suszarce znajduję brakujące myszy.
GregD
2
Ustaw pułapkę, kup ukrytą kamerę i ładniejszą mysz, aby ponownie złagodzić złodzieja.
Moab
2
Uwielbiam to pytanie, chciałbym zobaczyć odpowiedź ...
studiohack
3
czy sprawca kiedykolwiek został złapany?
Drew

Odpowiedzi:

5

Nie ma niestety ich dziennika - te wydarzenia są utracone na zawsze. Zawsze chciałem mieć dmesgodpowiednik w systemie Windows.

W systemie Windows XP i wcześniejszych można użyć winmsddo wygenerowania wyniku konfiguracji systemu, ale w późniejszych wersjach został on zastąpiony msinfo32(aplikacją GUI, której nie jestem pewien co do analizy wyniku).

Oba z nich dostarczają jednak tylko informacji na temat punktu w czasie, więc w celu wykrycia kradzieży myszy musisz regularnie rejestrować dane wyjściowe winmsddo pliku. Muszę przyznać, że osobiście skorzystam z sugestii kamery internetowej w przyszłości.

Szymon
źródło
Ale czy program Windows może to zrobić? A może ta funkcja jest po prostu niedostępna w systemie Windows (więc programy nie mają takiej możliwości)?
Pacerier
2
W rzeczywistości jest do tego plik dziennika. Nazywa się Microsoft-Windows-DriverFrameworks-UserMode-Operational.evtx, ale jest domyślnie wyłączony w Win10.
StackzOfZtuff
7

Być może jest już za późno, ale istnieje kilka programów, które zrobią to dokładnie. Najłatwiejszym w użyciu jest USBLogView

Inne opcje, niezbyt przyjazne, to Windows USB Storage Parser lub Microsoft USBView (UVCView na Win7), który jest dostarczany z Windows Driver Kit (WDK).

Jeśli naprawdę chcesz ubrudzić sobie ręce, otwórz RegEdit i poszukaj następujących wpisów:

Opis : Lista zainstalowanych urządzeń USB, zarówno podłączonych, jak i niepodłączonych Lokalizacja : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB Dlaczego Cię to obchodzi : Warto wiedzieć, które urządzenia USB zostały podłączone do skrzynki, a nawet producenta i numer seryjny urządzenia w niektórych przypadkach. Myślisz, że ktoś skopiował dane na dysk USB? Może to pomóc w wyśledzeniu, co to jest thumbdrive. Pomyśl, jak przydatne może być powiązanie czegoś, co fizyczny użytkownik posiada z pudełkiem.

Opis : Lista zainstalowanych urządzeń pamięci masowej USB Lokalizacja : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR Dlaczego Cię to obchodzi : Podobnie jak pozycja zainstalowanych urządzeń USB, ale tylko pamięć USB. Myślisz, że ktoś skopiował dane na dysk USB? Może to pomóc w wyśledzeniu, co to jest thumbdrive. CleanAfterMe szoruje HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB, ale nie USBSTOR podczas ostatniego testu.

Gaia
źródło
1
Monitorowanie tych kluczy za pomocą Procmon.exe z SysInternals zrobiło dokładnie to, czego potrzebowałem.
Doug Wilson