Windows操作系统环境下调查USB设备使用痕迹方法研究

获取送检介质曾经挂载的USB设备使用痕迹,是电子数据取证实践中典型鉴定需求之一。虽然现有取证工具有的声称支持此类信息的分析,但实际工作中发现其提取到的痕迹(特别是USB设备序列号)并不准确,同时也不够全面(如缺少USB设备被分配的盘符信息),难于满足取证实践的需要。传统的此类痕迹调查完全依靠注册表中的USBSTOR表键,为弥补其不足,本文基于电子数据取证视角,在详细说明USBSTOR表键取证关键的基础上,增加了USB和UMB表键的分析;并阐述了在相关注册表键被清除的情况下,如何依靠系统文件补充调查USB设备使用过程中可能留有的痕迹。实践证明,所述方法准确高效。