Windows操作系统环境下调查USB设备使用痕迹方法研究

Windows操作系统环境下调查USB设备使用痕迹方法研

究

USB Device Usage Traces in Windows Environment

作 者：段严兵 罗文华

DUAN Yan-bing, LUO Wen-hua （Department of Network Criminal Investigation, National Police University of China, Shenyang 110854, China）

作者机构：中国刑事警察学院网络犯罪侦查系,沈阳110854 出 版 物：刑事技术 年 卷 期：2015年 第2期

摘 要：获取送检介质曾经挂载的USB设备使用痕迹,是电子数据取证实践中

典型鉴定需求之一。虽然现有取证工具有的声称支持此类信息的分析,但实际工作中发现其提取到的痕迹（特别是USB设备序列号）并不准确,同时也不够全面（如缺少USB设备被分配的盘符信息）,难于满足取证实践的需要。传统的此类痕迹调查完全依靠注册表中的USBSTOR表键,为弥补其不足,本文基于电子数据取证视角,在详细说明USBSTOR表键取证关键的基础上,增加了USB和UMB表键的分析;并阐述了在相关注册表键被清除的情况下,如何依靠系统文件补充调查USB设备使用过程中可能留有的痕迹。实践证明,所述方法准确高效。

页 码：138-141页

主 题 词：电子物证 USB设备 使用痕迹 注册表 设备序列号 系统文件