Где в реестре прописываются флешки

Где в реестре прописываются флешки

RegMon и FileMon на память приходят сразу, но если ребята из конторы это дело проверяют, то надо ли на рожон лезть? Это конечно не старое КГБ, но и сейчас спецов и оборудования там хватает.
Нужно файло спереть? В хекс формате его на экран и фотоаппаратом, потом в файнридер Если это не тупой текстовый или вордовый файл. Закинуть на комп что то — через почту или облако.

открываете регэдитор и пускаете поиск по слову usbstor. удаляете записи с вашей флешкой и всё. можно создать пользователя и открыть доступ к этой ветке, а остальным запретить даже чтение. тогда прога, по идее, обломается. можно грузиться с лив-сд и там оперировать. вобщем можно многое придумать если локальный админ есть.
P.S. а безопасники ваши- лохи.

В том — то и дело, что надо. Просто в Минобороны соображения режимности доведены до абсурда. На моем рабочем компе стоит гриф «для работы с несекретными документами». Соответственно, ничего секретного в нем не содержится по определению. Поскольку с софтом проблемы (решение по наименованиям используемого софта принимается командиром части, а он тот еще компьютерщик. Пытается записать файлы на использованную сидиэрку, да еще и методом перебрасывания файлов на дисковод в проводнике), то работу с графикой (чертежи и схемы) приходится делать дома. Разумеется, на дискетке кореловские файлы носить — замудонюсь тоталом их пилить, а потом на работе соединять (смеюсь). Флешку, конечно, можно зарегистрировать, но это такой гемор. Замучаюсь в Первопрестольную мотаться и наблюдать, как желторотики из ФСБ будут обозначать собственную значимость. Вот и приходится использовать флеху на свой страх и риск. Почему и задал вопрос.

Следы использования USB-Flash

как вариант- USB Dev Kill, с последующей дополнительной чисткой реестра ручками
http://www.cyberseller.ru/wellcome/good_info.php?idd=864237
вот тут есть другая софтина, но автор просит немного денежек

После чистки реестра
1. Воткните учтенные флэшки, которые проходили исследования в составе ОТСС.
2. На ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
поставьте SYSTEM чтение, тогда способа реализации канала утечки не будет. так как диспетчер логических дисков будет только Ваши флэшки воспринимать.

Если припрут: «До ввода объекта в эксплуатацию (до того как обрабатывалась защищаемая информация) время в биосе изменялось, для не содержащих защищаемую информацию, поэтому в реестре могут быть какие-то записи.»
—-
есть способы определить куда, когда копировался файл?

Отформатируйте в NTFS.
Создайте 2 каталога на флэш. (Огрнанич доступ и без ограничений), напишите инструкцию по flash net.
задайте прав на чтение запись для пользователей из состава ОТСС/ВТСС между которыми происходит обмен флэш нет.
Включите аудит для группы все и анонимный вход на оба каталога.
Если нет требований по производительности и нет флоппи, то можно дополнительно настроить регистрацию событий подключения флэш (в гугле ищите Леонтьев MOF)

. или купите, что-то типа DeviceLock, но будьте внимательны, так как функционал сертифицированной версии может отличаться от последней на сайте разработчика. (Я не про DeviceLock, а в общем)

Интересно, что еще кроме флэш регуляторы ищут в реестре?

Как удалить данные о USB Флешках в реестре Windows

Как удалить данные о USB Флешках в реестре Windows

Как удалить данные о USB Флешках в реестре Windows

Добрый день уважаемые читатели блога pyatilistnik.org, сегодня хочу рассказать как удалить данные о USB Флешках в реестре Windows. Эта статья является продолжением статьи Как узнать какие usb накопители подключались к компьютеру. Вся информация о любых USB носителях, когда-либо подключаемых к компьютеру, хранится в системном реестре. Если к компьютеру подключается много флешек разных моделей и производителей, то со временем в реестре скапливается очень много мусора. В результате процесс определения и подключения нового устройства начинает занимать значительное время и тормозит систему.

Выход один. Нужно периодически чистить разделы реестра, который хранят данные о подключаемых флешках и других USB накопителях. Очистка этих разделов позволит ускорить подключение новых USB устройств и работу системы в целом.

Чистку надо производить с помощью системной программы Regedit. Запускается она так.
Пуск — Выполнить — Regedit

Как удалить данные о USB Флешках в реестре Windows-01

Разделы реестра, хранящие данные о любом USB накопителе, когда-либо подключаемом к ПК — Флешки, внешние хард диски, а так же фотоаппараты, телефоны, флеш плееры и другие устройства, которые при подключении к ПК были распознаны как внешний USB накопитель. Здесь можно удалить все подразделы с префиксом Disc.

Как удалить данные о USB Флешках в реестре Windows-02

Из скринов видно, что подключались так же и хабы и HDD через хаб

Как удалить данные о USB Флешках в реестре Windows-03

Если чистить в ручную не хотите, то есть и бесплатное ПО, например USB Oblivion . Запускаем утилиту

Как удалить данные о USB Флешках в реестре Windows-04

Ставим галку Произвести реальную очистку

Как удалить данные о USB Флешках в реестре Windows-05

Видим, что все завершено и было удалено много записей из реестра. Проверим реестр. Обратите внимание что папку USBSTOR нету.

Как удалить данные о USB Флешках в реестре Windows-06

Ну и на по следок посмотрим программой USBDeview, тоже все чисто.

Как удалить данные о USB Флешках в реестре Windows-07

Вот уважаемые читатели где хранится данные о ваших флешках, так что если, что то нужно удалить то начинайте.

Как очистить данные о USB Флешках в реестре Windows.

Комментарии и отзывы: 9

1. Илья • 19.05.2011
>>>Внимание! Эти разделы так же содержат информацию о жестких дисках, установленных на компьютере. Не удаляйте эту информацию.

Вопрос: Если я по ошибке все же удалю вместе с информацией о флешках, данные о жестких дисках, что тогда? Капут системе?

Ответ:
Да, вы правы. Иногда, даже с установленными правами на полный доступ, удалить указанные ключи не получается. Но выход есть. Надо запустить редактор реестра с правами системы.

Как это сделать под Windows XP напишу ниже. На Виста и Windows 7 не пробовал.

И так. Для того чтобы запустить в Windows XP программу с правами системы, нужно запустить ее через «Планировщик заданий». Убедитесь, что эта служба у вас включена:

Панель управления — администрирование — службы — Планировщик заданий.

Если все в порядке составляем BAT файл следующего содержания:
at 21:01 /interactive regedit.exe

21:01 — это время (у вас будет свое значение) запуска задачи. Если у вас системные часы показывают время 20.59, то редактор реестра (regedit.exe) будет запущен в 21:01, через 2 минуты.

После чего запускаем BAT файл.
В 21:01 любуемся запущенным под системными правами редактором реестра.

Теперь можно править в реестре любые данные.

8. Афанасий • 08.07.2013
Ответ к ответу на комментарий №3
«Как это сделать под Windows XP напишу ниже. На Виста и Windows 7 не пробовал».

Я пробовал, в windows 7, но этот способ уже не работает. Редактор реестра запускается и виден в процессах, но его окна система не открывает в целях безопасности. О чем сообщает при попытке создания задания в планировщике задач.

Добавить отзыв, комментарий

Javagala.ru — Чат знакомс
Помогите установить галактику знакомств на Sony Ericsson k79 .

Ка4ка.ру — все для твоей
Скажите, а как сдесь на качке.ру скачивать к примеру книги? .

Способы распространения к
Сегодня получили такое письмо:—Здравствуйте.Убедительно просим Вас п .

ZenKEY 2.5.3
а программа может вводить чит коды в играх? .

Passwords Generator
Имхо лучше онлайн генератор загуглить и ничего не устанавлив .

Copyright © Софт — Архив 2008 — 2018 Алексей Егоров
Сайт использует технологию Cookie для сохранения настроек пользователя.



КОМПЬЮТЕРНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА

COMPUTER FORENSICS AND INVESTIGATIONS

  • Портал http://computer-forensics-lab.org/Помощь новичкам
  • Изменить размер шрифта
  • Версия для печати

USB: Идентификация подключавшихся устройств

Модератор: pruss

USB: Идентификация подключавшихся устройств

Igor Mikhaylov » 13 сен 2007, 14:28

Повторю еще раз то, что уже говорил на этом форуме: «Господин Harlan утверждает, что в своей книге «Windows Forensic Analysis» ( http://www.syngress.com/catalog/?pid=4230 ) он тщательнейшим образом рассказывает о том, как определить:какие сменные носители подключались к ПЭВМ.»

Модератор: после моих необдуманных действий отсутствует первое сообщение. Которое в общем соответствует теме ветки

Digital Evidences is the international board about digital evidences.

andre_m » 28 сен 2007, 23:11

Для WinXP я определяю так:

1. С помощью WRA ( http://www.mitec.cz/ ) открываю файл реестра X:\Windows\System32\Config\SYSTEM (естественно переписанный файл с исследуемого HDD, находящийся по данному пути. На локальном компе придется пользоваться Regedit)
2. Определяю текущий ControlSet
2.1. Смотрю параметр Select в ветви реестра (даю полный путь) HKEY_LOCAL_MACHINE\SYSTEM\SELECT
(Например, он равен 1, значит текущий ControlSet001 )
3. Смотрю ветвь реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR
Здесь находятся все устройства-носители, подключаемые к USB
В ключах находящихся в данной ветви есть параметры
— FriendlyName (Например, он равен «Kingston DataTraveler 2.0 USB Device» )
— ParentIdPrefix (Например, он равен 7&cb3a0ee&0 ).
4. Смотрю параметры в ветви реестра
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices (ветвей может быть несколько например у меня есть MountedDevices1 )
Открываю параметры вида
\DosDevices\X : (где X — буквы логических дисков).
Выбираю те, которые в значении содержат строки STORAGE#RemovableMedia
После этой строки идет ParentIdPrefix (у меня, например, 7&cb3a0ee&0 ).
Очевидно, что накопитель с идентификатором » Kingston DataTraveler 2.0 USB Device » монтировался в системе на букву X )

Для полноты картины смотрим все имеющиеся ControlSet’ы , а также файлик \Windows\Repair. Есть еще копии куста реестра SYSTEM в каталоге «X:\System Volume Information\» их тожно можно открывать с помощью «WRA».

Бывает так, что флэшки монтируются на одну и ту же букву и в MountedDevices информация будет только о последней.

Кстати в WRA можно посмотреть даты изменения ветвей реестра, но как их интерпретировать я не знаю.
Примечание: чтобы изменять-удалять параметры в ветви . USBSTOR нужно иметь права на полный доступ (по умолчанию есть только на чтение).
На параметры в MountedDevices права по умолчанию — «полный доступ».
Так что, пользователь может спокойно удалять нужную нам информацию.

На полноту исследования не претендую.

Marat » 28 сен 2007, 23:24

Смотрите еще:

  • Как переоформить опекунство ребенка на другого человека Каким образом переоформить ребёнка на себя Доброго времени суток.Я-родной отец ребёнка.когда мы с женой только начали встречаться она забеременела,после мы расстались и я даже был не в курсе ребёнка.при рождении он был записан на другого человека(ее парня на то время).сейчас мы живём […]
  • Протокол заседания мо бланк Учебно-методический материал по информатике и икт на тему: Бланк протокола заседания МО учителей-предметников. Бланк протокола заседания МО учителей-предметников. Предварительный просмотр: Заседания МО учителей математики и информатики от «___»__________ 201 г. […]
  • На меня написали заявление о краже денег что делать Обвиняют в краже денег Никто не застрахован от того, что в один момент кто-то из людей, коллег или даже родственников может обвинить в хищении денег. Что делать в этом случае и как доказать, что вы действительно этого не совершали и стоит ли вообще это доказывать? Что нужно […]
  • Отказ от гражданства казахстана в москве Отказ от гражданства Казахстана Казахстанские социологи бьют тревогу: процент людей, стремящихся покинуть республику, неукоснительно возрастает, например, возрастает эмиграция из Казахстана в Россию. На этом фоне отказ от гражданства Казахстана не является редкостью. Выход из […]
  • Гтс транспортное средство Гтс транспортное средство Трудоустройство выпускников колледжей остается одной из актуальных проблем занятости молодых специалистов. Даже такая востребованная рынком специальность, как автомеханик, еще не гарантия хорошей работы, прежде всего, из-за отсутствия опыта работы и практических […]
  • На каком форуме можно задать вопрос На каком форуме можно задать вопрос В этом разделе можно задать любой вопрос без стеснения и опасений. Как задать вопрос на форуме? Очень просто. для начала надо зарегистрироваться, нажав на эту ссылку. Процесс регистрации не сложен и займёт всего несколько минут. Поймите нас - это […]
  • В каком случае накладывают арест на имущество Арест на квартиру: что это, как и кем накладывается, как узнать под арестом ли квартира В настоящее время все больше людей не могут своевременно оплачивать свои ежемесячные расходы. Возникают задолженности по кредитным, коммунальным и другим платежам. У многих возникает вопрос: А не […]
  • Вид на жительство без рвп 2018 Особенности получения ВНЖ России для украинцев в 2018 году Украина и Россия издавна находятся в тесных взаимоотношениях. Страны сотрудничают на экономическом и промышленном уровнях. Граждан этих двух государств многое объединяет, например, общее историческое прошлое, схожесть культур, […]