15、Windows 7注册表分析：USB设备追踪指南

Windows 7注册表分析：USB设备追踪指南

1. 注册表基础

注册表由键（keys）、值（values）和值数据（value data）组成。键类似于文件夹，包含子键和值，并且有一个名为LastWrite time的属性，它是一个64位的FILETIME时间戳，记录了键最后一次被修改的时间，修改包括键的创建、删除，以及子键或值的添加、删除或修改。而注册表值本身没有LastWrite time，但有些值的数据中可能包含与其他功能或操作相关的时间戳。

我们可以将注册表配置单元文件视为日志文件，因为其中记录了各种系统和用户活动，以及时间戳的修改，例如注册表键的LastWrite time。结合值数据和可用的时间戳，我们可以从注册表中获取有价值的数据，就像进行日志文件分析一样。

2. USB设备分析的重要性

在调查中，追踪USB设备（特别是拇指驱动器或外部驱动器盒）的使用情况非常重要。例如，确定特定的可移动设备是否连接到系统，以及当时登录系统的用户和该时间段内访问的数据，可能表明员工是否将敏感的公司数据复制到了该设备上。此外，将外部设备连接信息与恶意软件感染事件相结合，不仅可以确定拇指驱动器是否是感染源，还可以确定具体是哪个设备引入了恶意软件。

3. Windows 7系统中USB设备信息的存储位置

Windows 7系统会记录大量与用户连接的USB设备相关的信息，其中大部分存储在注册表中。要分析USB设备，我们需要从多个配置单元文件（System、Software和NTUSER.DAT）的多个位置提取信息。

4. 拇指驱动器分析示例

以下是一个拇指驱动器分析的详细步骤：