Устройство еще используется: как безопасно извлечь флешку или внешний USB-диск

Ни для кого уже не секрет, что информация о разного рода активности многочисленных компонентов операционной системы попадает в реестр и файлы в виде записей заданного формата. При этом, информация эта нередко содержит чувствительные пользовательские данные: историю посещенных браузером страниц, кеш данных программ, информацию о подключаемых устройствах и многое многое другое.

Следы подключения USB устройств, содержащиеся в виде различных данных в файлах/реестре, принято называть артефактами.

Система создает артефакты в момент обнаружения (инициализации) устройства (сменных накопителей, модемов, гаджетов, камер, медиаплееров и прч.) на шине компьютера. Дополнительным плюсом данного материала будет возможность сбора доказательной базы по факту неправомерного использования рабочей станции пользователя в корпоративной среде при помощи незадекларированных USB-устройств.

Разделы реестра, хранящие данные о любом USB накопителе, когда-либо подключаемом к ПК – Флешки, внешние хард диски, а так же фотоаппараты, телефоны, флеш плееры и другие устройства, которые при подключении к ПК были распознаны как внешний USB накопитель.

Все данные о подключениях USB хранятся в реестре Windows в этих ветках:

HKLMSYSTEMCurrentControlSetEnumUSBSTOR HKLMSYSTEMCurrentControlSetEnumUSB HKLMSYSTEMMountedDevices HKLMSYSTEMControlSet001ControlDeviceClasses{53f56307-b6bf-11d0-94f2-00a0c91efb8b}  

Очистка этих разделов позволит ускорить подключение новых USB устройств и работу системы в целом.

Чистку надо производить с помощью системной программы Regedit. Запускается она так.Пуск – Выполнить – Regedit

История USB подключений программами

Идеальным для меня способом является использование специальных программ. Я представлю две программы, у каждой есть свои достоинства. Для вашего удобства в конце статьи я прикрепил архив для скачивания всех программ разом.

История USB подключений программой USBDeview

USBDeview — это маленькая, бесплатная программа для просмотра и анализа истории подключения USB- устройств, таких как флешка, внешний жесткий диск, смартфон, планшет, USB мышка, клавиатура и т.д.

Скачать USBDeview

Скачать USBDeview бесплатно вы можете по  прямой ссылке английскую версию.

Автор программы известный Израильский программист Нир Софер, который написал большое количество бесплатных, полезных приложений.

Использование USBDeview

После того как скачали, разархивируйте и запустите файл «USBDeview.exe». Версия портабельная, т.е не требует установки, и после запуска мгновенно запустится. Быстренько просканировав компьютер USBDeview отобразит список всех ранее подключенных USB-устройств.

Вот какую информацию может показать программа:

• Имя устройства
• Описание
• Первое подключение
• Последнее подключение
• Буква диска
• Серийный номер
• Производитель устройства
• Версия USB

Есть еще куча другой информации, но большинству для того чтобы отследить кто и когда подключал к компьютеру флешку наверное хватит даты подключения, названия и описания USB-устройства. Кроме этого программа может отключить, включить, удалить а также запретить USB устройства. Если вы собираетесь проделывать какую-нибудь из этих вышеперечисленных операций, то я настоятельно рекомендую сделать предварительно бекап или точку восстановления системы.

История USB программой USB History Viewer

Следующая программа с которой я хочу вас познакомить — это USB History Viewer. Утилита отображает информацию только о подключенных флешках и внешних жестких дисках.

Скачать USB History Viewer

Скачать USB History Viewer бесплатно вы можете по  ссылке только английскую версию.

Использование USB History Viewer

Запускаем программу и видим три поля.

1. Computer name — Имя компьютера
2. Authentication — Авторизация
3. Get USB History — Список флешек

В первом поле выбираем компьютер. Во втором поле прописываем данные авторизации и нажимаем Start. Если необходимо вытащить информацию по текущему компьютеру и пользователю, то нечего не меняем, оставляем все поля как есть. Главным достоинством является умение вытаскивать историю использование флешек удаленно в локальной сети, но это требует логина и пароля удаленной машины.

На этом все, друзья. Надеюсь вам помогла данная статья и вы смогли посмотреть историю подключения USB. В целом это очень нужные программы, которыми надо уметь пользоваться, иметь у себя в архиве программ, ну или хотя бы как минимум знать об их существовании.

Источник: http://www.spy-soft.net

5 972 просмотровОтказ от ответственности: Автор или издатель не публиковали эту статью для вредоносных целей. Вся размещенная информация была взята из открытых источников и представлена исключительно в ознакомительных целях а также не несет призыва к действию. Создано лишь в образовательных и развлекательных целях. Вся информация направлена на то, чтобы уберечь читателей от противозаконных действий. Все причиненные возможные убытки посетитель берет на себя. Автор проделывает все действия лишь на собственном оборудовании и в собственной сети. Не повторяйте ничего из прочитанного в реальной жизни. | Так же, если вы являетесь правообладателем размещенного на страницах портала материала, просьба написать нам через контактную форму жалобу на удаление определенной страницы, а также ознакомиться с инструкцией для правообладателей материалов. Спасибо за понимание.

• Какие существуют безопасные операционные системы на базе AndroidМы, безусловно, любим Android, как показывает доля рынка, и Google…
• Обнаружен бэкдор в Win10TweakerДля неподготовленных юзеров, которые сталкиваются с Windows, настройки ОС иногда…
• Как нейронная сеть Google следит за нами? Распознавание лиц и защита от слежкиРаспознавание лиц — это технология на базе искусственного интеллекта. Специальный алгоритм…
• Как проверить APK файлы на наличие встроенных вирусовОфициальный и основной способ установки игр и приложений в операционной…
• Как в Windows настроить таймауты RDP-сессий с помощью GPOВ инструкции описан процесс настройки лимитов RDP-сессий. Чтобы серверы выполняли определенную…
• Как перехватить чужие СМСВопрос о том, как прочитать чужие смс, интересует многих. Например,…
• Практические советы по защите от программ-вымогателейВ последние несколько лет программы-вымогатели представляют собой растущую угрозу, и,…
• Секретная функция MIUI: как очистить разговорный динамик без разборки смартфонаXiaomi любит скрывать в недрах своей оболочки различные полезные фишки.…
• Whatsapp: как заспамить человека сообщениями через TermuxWhatsApp все чаще и глубже применяется в современном бизнесе. Его…
• 10 лучших инструментов для системных администраторов WindowsВ этой статье рассматриваются лучшие инструменты с открытым исходным кодом…
• Защита веб-сайта: как хакеры проводят DDoS атаки на 7 уровеньАтака типа «отказ в обслуживании» (DoS) – это попытка причинить вред, сделав…
• Как защитить свой смартфон от слежки с помощью камеры и микрофонаМобильные телефоны – очень распространённый вид связи, один из основных.…
• Какую информацию никогда нельзя хранить в своем смартфонеСовременные смартфоны вмещают большие объемы самой разной информации, однако ее…
• Инструмент Gideon для OSINTДобрый день! Что объединяет конкурентную разведку, пентестинг и расследование киберинцидентов?…
• Вводный мануал по penetration testingКак стать пентестером с нуля, да и вообще, что включает…
• MsfManiaMsfMania – это инструмент командной строки, разработанный на Python, который…
• Как переименовать контроллер домена WindowsСам процесс изменения имени не сопряжен с какими-либо сложностями, однако…
• Эксплуатация уязвимости MultiBlue или как взламывают bluetoothТехнология беспроводной передачи данных между устройствами Bluetooth, зародившаяся в нулевых…
• Как мошенники создают фейковых ботов в Телеграм для деанонимизацииДавайте посмотрим на телеграм с другой стороны? Всё то, что…
• Как мошенники воруют криптовалютуПриложения в Google play которые воруют у пользователей их секретную…

Съемные USB-накопители и карты памяти, которые в народе получили одно название — флешка — это, наверное, самый популярные в мире носители информации. На них мы носим документы, важные файлы, фотографии да и просто музыку, фильмы и картинки. Параллельно с популярностью растут и возникающие с ними проблемы. Кто-то неудачно отключил диск во время записи, у кого то заглючил контроллер, а кому-то не повезло и его флешка сдохла — такое тоже встречается. В последнем случае проблема аппаратная и устройство проще выкинуть. А вот если сбой программный, то можно попробовать исправить ситуацию самостоятельно. В этой статье я приведу несколько способов как восстановить флешку, вернее её работоспособность, которыми я сам пользовался. Если у Вас есть свои варианты решения проблемы — пишите в комментарии, очень интересно узнать кому что помогло. Итак, поехали! 

1. Флешка не открывается!

Windows видит съемный диск, но при попытке зайти — выдаётся ошибка «Нет доступа» или «Отказано в доступе». Самая распространённая причина — вредоносные программы, распространяемые через съёмные носители.

Вирус создаёт в корне диска файл: «autorun.inf» с инструкциями по запуску нужных исполняемых файлов. Причём, очень часто встречается такое, что саму заразу антивирус уже уничтожил, а вот файлик автозапуска остался. Проверьте флешку антивирусной программой с актуальными базами. После этого надо зайти в «Мой компьютер», кликнуть на диске правой кнопкой и выбрать пункт «Открыть». Содержимое откроется в отдельном окне и Вам надо будет удалить файл autorun.inf вручную.

2. Диск не отформатирован!

Причиной может быть сбой контроллера памяти. Сначала попробуйте форматировать флешку обычным образом, через «Мой компьютер». Не помогло? Попробуйте сделать это через Диспетчер дисков. Чтобы в него попасть в Windows 7 или Windows 8 нажмите комбинацию клавиш «Win+R» и в окне «Выполнить» наберите команду diskmgmt.msc. В открывшемся окне диспетчера находим свою флешку, кликаем на ней правой кнопкой мыши и выбираем пункт меню «Форматировать».

Если и это не принесло результата, попробуйте воспользоваться специализированными утилитами. Подробнее смотрите в статье Как отформатировать флешку.

3. Флешка не определяется (устройство USB не опознано)

При этом появляется вот такая ошибка.

Если это USB флешка, то для начала — просто отсоедините накопитель и включите в другой USB порт. В идеале втыкать надо сразу в разъём на материнской плате. Этим Вы исключите вероятность неисправности удлинителя или разъёма. Не помогло? Тогда проверьте её на другом компьютере или ноутбуке. Если у Вас SD, Micro SD или иная карта памяти, то попробуйте отключить картридер и подключить его в другой порт USB. То же самое? Тогда надо проверять картридер, возможно он неисправен. В случае, когда на другом компьютере съёмный диск определяется без проблем, попробуйте у себя удалить драйвер. Делается это следующим образом. Заходим в Диспетчер устройств Windows и находим раздел «Контроллеры USB»:

Теперь нам нужна строчка «Запоминающее устройство USB». Кликаем на нём правой кнопкой мыши и выбираем пункт Удалить. Отсоединяем флешку от ПК и перезагружаемся. Проверяем работу накопителя.

Переустановка драйвера не дала результата? Попробуем почистить ветки реестра, в которых сохранена информация о устройстве. Для начала надо собрать о нём информацию, а если точнее, то два параметра:VID – идентификатор производителяPID – идентификатор устройства Для этого снова возвращаемся в Диспетчер устройств, находим там «Запоминающее устройство», кликаем на нём правой кнопкой мыши и выбираем пункт меню «Свойства». В открывшемся окне нас интересует вкладка «Сведения». В списке «Свойство» ищем строчку «ИД устройства» или «Код экземпляра устройства».

В поле «Значение» должны отобразиться строчки,содержащие вот такой код:

VID_1005&PID_1113

В каждой из них будут вложенные папки. Находим те из них, которые содержат в наименовании найденные идентификаторы и полностью очищаем из содержимое.Внимание! Вы работаете с реестром Windows, поэтому будьте предельно внимательны. После того, как Вы очистите папки — перезагрузите компьютер и проверьте работу флешки.

Ещё один способ — попробовать подсунуть системе драйвер с другого компьютера. Главное, чтобы версии Windows на обоих ПК полностью совпадали. Вот эти два файлика:

Просто копируем их на любой рабочий носитель (диск, другая флешка и т.п.), приносим к себе и кладём точно по тому же самому пути. Перезагружаемся и проверям — удалось ли нам восстановить флешку.

4. Съемный диск определятся, но пишет «размер 0, занято 0, свободно 0».

Такое чаще всего сопровождает сбой работы контроллера памяти. Помочь могут только специализированные утилиты для работы именно с этой моделью чипа. Как их найти? Начать надо с того, что узнать параметры VID и PID Вашей модели накопителя. Выше я уже рассказывал как это делается. Есть, правда, ещё один вариант — воспользоваться специальными программами, которые выдают полную информацию о гаджете — например, ChipGenius, CheckUDisk или Usbflashinfo.

Затем идём на сайт flashboot.ru и в разделе iFlash вводим VID и PID в соответствующие поля. Запускам поиск.

В найденных результатах находим свою модель флеш-драйва и утилиты которые подойдут для работы с его контроллером. Эти программы и инструкцию по работе с ними так же можно найти на этом сайте.

Если ничего не помогло…

Это тоже частое явление. Какую-то флешку восстановить или отремонтировать получается без проблем, а какая-то улетает в мусорное ведро. Но если Вы отчаянный и решительный человек, то можно попробовать последний способ — перевести контроллер в тестовый режим без опроса памяти. К сожалению, такое решение подойдёт только для USB-дисков, карты памяти (СД или Микро СД) таким образом починить не получиться. Для начала придётся снять пластиковый корпус и оголить микросхему. Теперь поверните её чипом к себе, как на рисунке:

В углу должна быть маленькая точка — это ключ для отсчёта контактов. Как правило, нужно замыкать контакты 29 и 30 (на некоторых моделях флешей замыкать надо ножки 30 и 31 или 31 и 32). Сделать это можно иголкой или булавкой.

Внимание! все эти действия Вы делаете на свой страх и риск и должны понимать, что можете окончательно убить девайс спалив микросхему.

После этого, не размыкая контакты — включаем флешку в USB-порт. Одна должна определиться как устройство и стать доступна для форматирования. Вот только после этого можно разомкнуть контакты. Но не спешите отключать съёмный диск. После повторного подключения он опять не будет работать. Вам надо с помощью идентификаторов VID и PID найти на сайте Flashboot специализированные программы и с их помощью восстановить флешку, вернее её прошивку.

Добрый день!

Сегодня посмотрим как выяснить какие USB-flash подключались к компьютеру. Указанный навык может помочь в ходе аудита информационной безопасности и в ходе расследования инцидентов информационной (Хвала ей) безопасности.

Просмотреть какие устройства и когда подключались к АРМ мы сможем с помощью portable-программки, Скачать которую можно по адресу:

http://www.nirsoft.net/utils/usb_devices_view.html

Стоит отметить, что на странице представлен и руссификатор, просто кидаем его в папку с программой и наслаждаемся родной речью.

При запуске мы увидим историю того, что и когда проникало в наши USB-порты:

При открытии конкретной записи к подключаемому устройству мы можем увидеть более подробную информацию, в особенности серийный номер устройства (может быть полезно посмотреть серийник флешки, чтобы, например, прописать в DLP), дата и время первого подключения и тип устройства:

Может быть полезно для поиска подключений мобильных телефонов к АРМ’ам если у Вам это запрещено политикой информационной безопасности и для многого другого!

Всем святого ИБ!

Используемые источники:

• https://rucore.net/kak-posmotret-istoriyu-usb-podklyuchenij-v-windows-10-8-1-7/
• https://nastroisam.ru/recovery-usb-flash/
• https://itsecforu.ru/2018/08/20/%d0%ba%d0%b0%d0%ba-%d0%bf%d0%be%d1%81%d0%bc%d0%be%d1%82%d1%80%d0%b5%d1%82%d1%8c-%d0%ba%d0%b0%d0%ba%d0%b8%d0%b5-usb-flash-%d1%84%d0%bb%d0%b5%d1%88%d0%ba%d0%b8-%d0%bf%d0%be%d0%b4%d0%ba%d0%bb%d1%8e/