Как посмотреть историю USB подключений к стационарному компьютеру/ноутбуку?
Как определить, что у компьютера есть еще и «другая жизнь», о которой владелец не знает?
Любое устройство, подключаемое к системе – оставляет свои следы в реестре и лог файлах.
Существует несколько способов определить — какие USB-Flash-накопители подключались к устройству:
1) С использованием специальных программ
Если нужно знать, что именно копировалось с/на компьютер – используем этот способ. При условии соблюдения политик безопасности и с помощью специального софта можно не только отследить, что в компьютер вставлялся USB flash диск, но и логгировать имена файлов, которые копировались с/на диск, и содержимое этих копируемых файлов.
С помощью специальных программ можно проконтролировать доступ не только к USB flash-дискам, но и ко всему спектру съемных устройств, принтеров и сканеров.
Специализированного софта по данной теме можно перечислить много, например – SecureWave Sanctuary Device Control / Lumension Device Control, DeviceLock, GFi EndPointSecurity, InfoWatch Device Monitor и т.п. Выбор конкретного софта зависит от конкретных условий применения.
2) Ручной – самостоятельно просматриваем реестр
Все данные о подключениях USB хранятся в реестре в этих ветках:
В первой (USBSTOR) отображаются устройства-носители (как правило флеш-накопители), во- второй (USB) – телефоны, камеры, мышки и т.д.
Рис.1 – Редактор реестра. Информация о флеш-накопителях
Для того, чтобы узнать дату и время подключения можно экспортировав нужный раздел в файл с расширением txt.
Рис.2 – Редактор реестра. Экспорт USBTOR
Рис.3 – Редактор реестра. Результат экспорта
Так же можно экспортировать раздел USBSTOR в файл с расширением txt.
Рис.4 – Редактор реестра. Экспорт USB
Затем запускаем поиск устройств MTP (латинскими).
Рис.5 – Редактор реестра. Экспорт USB
Находим дату и время подключения мобильного телефона (в данном примере) к USB компьютера. Так же по поиску устройств MTP могут находиться фотоаппараты и планшеты.
Те, кто хоть как-то связан с кибербезопасностью, наверняка не раз слышали поучительную истории о флешках, разбросанных по парковкам. Это был обычный эксперимент, проведенный в студенческом кампусе Университета штата Иллинойс, с несколькими сотнями утерянных флешек, на которых был записан безобидный скрипт, сообщающий о подключении USB-накопителя к компьютеру. Итог – 45% утерянных флешек были подключены в течении 10 часов после начала эксперимента.
Еще одно событие, произошедшее в прошлом году. В изолированную сеть атомной электростанции попало вредоносное ПО. Причина – сотрудник, для решения задач предприятия, использовал USB со скачанным для семейного просмотра фильмом.
Помните, что даже личные накопители сотрудников (флешки, карты памяти) способны нанести компании урон не меньший, чем внешняя атака.
Можно ли узнать копировалась ли информация с флешки
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Ответы
1. В Recent вы этих файлов не увидите.
эти логи отключены по дефолту.
ну можно пробежаться по атрибуту ласт ассессед в фс, но там будет куча мусора.
А журнал не ведется разве на эту тему?
то о чем вы спрашиваете на уровне системы может логироваться через аудит (который необходимо настраивать). Но анализ логов задача трудоемкая + логи можно почистить имея права. Для этого существуют DLP системы которые стоят отдельных денег и могут гарантировать результат, в том числе и блокировку и мониторинг.
Если вы подозреваете утечку информации, то практика показывает что самый пессимистичный вариант является реалистичным.
The opinion expressed by me is not an official position of Microsoft
Интересно, как обновляются журналы на флэшке, в случае запрета на подключаемом устройстве действий на запись? На флэшку, не имеющую свой источник питания, для поддержания системного времени, данные о дата/времени подключения, а также прочая идентификационная информация о подключаемом устройстве, должны передаваться с этого самого устройства, а в случае ограничений прав на запись, по идее и журналы не могут обновляться.
Бегло пробежался по документации «Секрета» ( http://prosecret.ru/documentation.html ). Насколько понял, флэш накопитель «Секрет» не совсем то, о чём спрашивается в этой теме. Взять хотя бы необходимость установки ПО для работы с «Секретом».
А нужно, чтобы была обычная флэшка, на которой бы содержался журнал с логированием событий. Чтобы была возможность узнать на каком АРМе, в какое время и каким пользователем использовалась флэшка. Плюс, ещё непоохо бы видеть все действия производимые с содержимым флэшки.
Если говорить про изолированные сети.И обмен между ними. Уж лучше тогда развернуть центры прозрачного шифрования на ключах всех съёмных носителей. Чем изучать какие то логи подключений.
Ок. Увидели в логе на флешке, что подключалось к другому ПК. Во первых инфа уже ушла, во вторых попробуй докажи что она ушла именно с этой флешки. Сразу же понятны отмазы юзера «Я случайно подключил, и сразу вытащил., но ничо ничо не копировал. Чесно чесно». )
>>>>Ок. Увидели в логе на флешке, что подключалось к другому ПК. Во первых инфа уже ушла, во вторых попробуй докажи что она ушла именно с этой флешки. Сразу же понятны отмазы юзера «Я случайно подключил, и сразу вытащил., но ничо ничо не копировал. Чесно чесно». )
Так ведь, теоретически можно прикрутить к флэшке функционал по логированию конкретных действий.
Например, тот же штатный реестр Windows сохраняет логи по каждому действию пользователя. Какую папку открыл, какой конкретный файл открыл/закрыл/скопировал и т.п.
Здравствуйте, у меня есть флэш-накопитель USB 4 ГБ, когда я вставляю его в порт USB, появляется сообщение об ошибке: Файл или каталог поврежден и не читается. У меня есть несколько важных файлов на флешке. Как восстановить важные данные с флешки?
Как популярное портативное устройство, флэш-накопитель USB является важным устройством хранения данных, от семейных фотографий до конфиденциальных документов. Никто не ожидает потери данных с флеш-накопителей, но аварии происходят без предупреждения. В статье вы узнаете, как восстановить данные с флешки, которая повреждена или не обнаружена.
1. Как распознать сломанную флешку на компьютере
Означает ли это, что вы потеряете все файлы, если флэш-накопитель не может быть обнаружен? Есть шансы восстановить данные со сломанной флешки, если другой USB-порт не может решить проблему. Независимо от того, потеряны ли данные из-за физического или логического повреждения, вы можете восстановить файловую структуру, чтобы убедиться, что компьютер может распознать сломанную флешку.
Если вы используете Windows 10:
Шаг 1 Вставьте флешку. Перейти к Мой компьютер > Съемный диск, затем щелкните правой кнопкой мыши, чтобы выбрать Свойства.
Шаг 2 Выберите Сервис > Восстановленный, затем пусть он сканирует и восстанавливает файлы.
Шаг 3 Щелкните правой кнопкой мыши диск и выберите Выбрасывать.
Если вы используете более ранние версии:
Шаг 1 Вставьте флэш-накопитель в USB-порт вашего компьютера. Идти к Мой компьютер И выберите Съемный диск вариант, который вы можете открыть Свойства.
Шаг 2 Выберите Сервис И нажмите Проверьте кнопка. Проверить Автоматически исправлять системные ошибки и Сканирование и попытка восстановления поврежденного сектора, Что касается пользователей Windows 10, вам нужно нажать Перестраивать вариант под Сервис, Тогда восстановление данных флэш-памяти вашего компьютера по умолчанию распознает или извлекает файлы соответственно.
Шаг 3 Нажмите Start Кнопка сканирования необнаружимой флешки, которая должна стать важным шагом для восстановления файлов с флешки без форматирования. Нажмите на Закрыть опция после завершения процесса сканирования. В этом методе вы можете определить точную причину, приводящую к проблеме, при чтении USB-накопителя.
В некоторых случаях компьютер просто не может обнаружить сломанную флешку. После подключения к компьютеру ничего не происходит. Вы не можете найти его в моем компьютере или проводнике Windows.
Некоторые из наиболее распространенных причин потери данных на флешке:
На самом деле, когда флеш-накопитель сломан или поврежден, люди больше беспокоятся о своих данных, чем о стоимости оборудования. К счастью, есть несколько способов восстановить данные с флешки, даже если он сломан или поврежден.
2. Как восстановить данные со сломанного USB / флешки с помощью FoneLab Data Retriever
Если вы все еще не можете найти нужные файлы со сломанной флешки, FoneLab Data Retriever это профессиональное восстановление данных с флешки для восстановления удаленных или потерянных данных с помощью глубокого сканирования. Это в состоянии восстановить фотографии, видео, документы и другие файлы. Если у вас есть несколько важных файлов на поврежденной флешке, вы должны скачать программу, чтобы получить файлы обратно.
Как восстановить данные с поврежденной флешки
Сначала убедитесь, что USB-накопитель распознан на вашем компьютере. После этого вы можете сканировать флешку с восстановление данных с портативного диска чтобы получить потерянные файлы, как следующие шаги.
Шаг 1 Скачайте и установите восстановление данных с флешки
Скачать восстановление флешки, запустите файл установщика и следуйте инструкциям на экране, чтобы установить его на свой компьютер. Вставьте флешку в компьютер и запустите приложение. Установите флажки рядом с типами данных, которые вы хотите восстановить, например, Необходимые документы, Затем перейдите к Съемные диски раздел и выберите сломанную флешку.
Шаг 2 Предварительный просмотр потерянных данных перед восстановлением
Однажды ударил Scan кнопка, Data Retriever будет искать потерянные файлы на вашем флэш-диске. Через несколько секунд появится окно результатов. Чтобы просмотреть потерянные документы, нажмите Быстрое сканирование > Необходимые документы на левой боковой панели. Затем найдите нужный документ на правой панели.
Совет. Если вы не можете найти нужный файл, перейдите к Глубокий анализ режим, который может извлекать данные с флешки, которые вы не можете получить с помощью решения по умолчанию.
Шаг 3 Вернуть данные с поврежденной флешки
Затем установите флажок рядом с каждым файлом, который вы хотите восстановить. Затем нажмите Recover кнопка. Восстановление всех файлов с флешки занимает всего несколько минут. Программа поддерживает сканирование USB-накопителей большой емкости и отслеживает недоступные или отформатированные файлы.
Независимо от того, хотите ли вы получить файлы для флэш-накопителя с поврежденными ножками и коннекторами, необнаруживаемыми файлами или другими проблемами, FoneLab Data Retriever с легкостью сможет восстановить поврежденные файлы USB-накопителя. Но если файлы серьезно повреждены или повреждены, программа может не работать, особенно для физических проблем.
3. Другие способы восстановления данных с флешки
Независимо от того, были ли проблемы с флеш-накопителем сводиться к логическим или физическим ошибкам, вы можете попробовать некоторые хитрости для их устранения.
Способ 1. Переустановите драйверы
Переустановите диск может быть, способ помочь вашей флешке снова работать.
Шаг 1 Войдите в Мой компьютер/Этот компьютер, затем нажмите Управление.
Шаг 2 Выберите Диспетчер устройств слева, затем выберите Дисковые накопители справа.
Шаг 3 Найдите нужный диск и нажмите Удалить > OK.
Способ 2. Использование CMD
Шаг 1 Подключите флешку к компьютеру, нажмите панель поиска Windows, введите CMD в поле, а затем выберите Командная строка во всплывающих результатах.
Шаг 3 Нажмите кнопку Enter, чтобы начать процесс.
Способ 3. Изменить букву диска
Шаг 1 Подключите флешку к компьютеру, нажмите панель поиска Windows, введите CMD в поле, а затем выберите Командная строка во всплывающих результатах.
Шаг 2 Найдите диск и нажмите Изменить букву диска или путь к диску.
Шаг 3 Нажмите на Изменить и измените другую букву для этого.
4. Как сохранить данные Fata USB / Flash Drive в безопасности
Чтобы предотвратить повреждение, поломку или повреждение USB-устройства или флэш-накопителя, следуйте приведенным ниже советам, чтобы сохранить данные в безопасности. Лучше хранить данные флешки в безопасности, а не использовать восстановление флеш-данных.
Заключение
Основываясь на приведенных выше введениях, вы должны понимать, что вы можете сделать, если флэш-накопитель сломан, мертв или поврежден. Во-первых, вам лучше прекратить использовать флешку, как только вы обнаружите, что она повреждена. Важнее, FoneLab Data Retriever это профессиональное восстановление флэш-данных, которое может восстанавливать данные с флэш-накопителя в различных ситуациях. Кроме того, мы также поделились советами по обеспечению безопасности ваших данных и флешки.
Есть ли способ узнать, когда флешка была в последний раз использована (на любом компьютере)?
У меня есть флэш-накопитель USB, и я полагал, что кто-то еще мог подключить его к своему компьютеру и скопировать некоторые файлы.
Используя мой Mac, как я узнаю, когда в последний раз была подключена моя USB-флешка?
3 ответа
Лучшее доказательство, которое вы можете получить, это проверить время последнего доступа рассматриваемых файлов или, возможно, время последнего доступа к каталогу верхнего уровня в файловой системе.
Но сначала немного предыстории. Флэш-накопитель USB будет рассматриваться компьютером как диск. Диск (или, точнее, основной раздел в нем) будет отформатирован как файловая система. Большинство флэш-носителей поставляются в исходном формате с файловой системой VFAT, которая представляет собой решение с наименьшим общим знаменателем, которое работает практически со всеми устройствами, включая OS X, Windows, Linux и цифровые камеры. Следующей наиболее вероятной альтернативой VFAT будет HFS + (собственная файловая система OS X, которую Windows вообще не поддерживает) или NTFS (собственная файловая система Windows, поддерживаемая любой версией Windows, выпущенной в этом веке, но которая имеет только чтение только в OS X и редко поддерживается на цифровых камерах).
В качестве альтернативы, вместо использования Finder, вы можете использовать Терминал для запуска
чтобы увидеть время доступа к конкретному файлу.
Однако есть несколько важных предостережений!
Во-вторых, ваш подозреваемый коллега /шпион мог предпринять аналогичные контрмеры для установки носителя только для чтения, что не оставило бы метки времени в качестве доказательства. (Также нет гарантии, что на компьютере, который использовал шпион, были установлены точные часы, что поставило бы под сомнение действительность любой временной метки.)
