Регистрируются ли события отключения USB в Windows 7? (Когда была украдена моя мышь?)

Я знаю, это звучит немного смешно, но кто-то украл мою мышь из моей кабины ... Я пришел на работу утром и уже собирался слегка подтолкнуть мою мышь, чтобы разбудить монитор, но его там не было!

Я пытаюсь выяснить, когда это произошло. Я использую Windows 7, и это USB-мышь. Я проверил журналы событий, но, похоже, нет журналов, которые могли бы сказать мне, что я ищу.

Есть ли место, где регистрируются события отключения USB?

— пепси
источник

Мой журнал событий называется камерой безопасности.

— Барт Сильверстрим

Я обычно нахожу пропавших мышей в сушилке.

— GregD

Установите ловушку, купите скрытую камеру и более приятную мышь, чтобы снова похитить вора.

— Моав

Мне нравится этот вопрос, хотелось бы, чтобы на него ответили ...

— studiohack

был ли преступник когда-либо пойман?

— Дрю

Ответы:

К сожалению, их нет - эти события потеряны навсегда. Я всегда хотел dmesgэквивалент на Windows.

В Windows XP и более ранних winmsdверсиях вы можете использовать для создания вывода конфигурации системы, но в более поздних версиях он был заменен на msinfo32(приложение с графическим интерфейсом, в котором я не уверен, что проанализировал вывод).

Оба из них дают вам информацию только на определенный момент времени, поэтому для детективной работы, связанной с кражей мыши, вам необходимо регулярно регистрировать выходные данные winmsdв файл. Я должен признать, что я лично согласился бы с предложением веб-камеры в будущем.

— Саймон
источник

Но возможно ли это для программы Windows? Или эта функциональность просто недоступна в Windows (поэтому программы не имеют возможности сделать это)?

— Pacerier

На самом деле, есть файл журнала для этого. Он называется Microsoft-Windows-DriverFrameworks-UserMode-Operational.evtx, но по умолчанию он отключен в Win10.

— StackzOfZtuff

Сейчас может быть слишком поздно, но есть пара программ, которые сделают именно это. Самым простым в использовании является USBLogView

Другими вариантами, не такими дружественными, являются парсер USB-накопителя Windows или USBView от Microsoft (UVCView на Win7), который поставляется с Windows Driver Kit (WDK).

Если вы действительно хотите испачкать руки, откройте RegEdit и найдите следующие записи:

Описание : список установленных USB-устройств, как подключенных, так и не подключенных. Расположение : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB. Почему это важно : может быть полезно узнать, какие USB-устройства подключены к коробке, и даже производителя и серийный номер устройства в некоторых случаях. Думаете, кто-то скопировал данные на флэш-накопитель? Это может помочь вам отследить, какой флэш-накопитель. Подумайте, насколько полезно помочь привязать что-то, чем обладает физический пользователь, к коробке.

Описание : список установленных USB-устройств хранения. Расположение : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR. Почему это важно : аналогично записи об установленных USB-устройствах, но только для хранения USB. Думаете, кто-то скопировал данные на флэш-накопитель? Это может помочь вам отследить, какой флэш-накопитель. CleanAfterMe очищает HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB, но не USBSTOR, когда я тестировал в последний раз.

— Gaia
источник

Мониторинг этих ключей с помощью Procmon.exe из SysInternals сделал именно то, что мне нужно.

— Даг Уилсон