Listando todos os dispositivos que um dia conectaram na USB do computador


Em algum momento, um dispositivo USB é conectado no computador, seja ele uma impressora, pendrive, Cd-ROM ou uma câmera digital. E quando essa conexão é efetuada na porta USB, ficar gravado no registro do windows uma série de informações sobre o dispositivo que um dia foi inserido na USB do micro.

Para um perito forense, esse tipo de informação gravado em uma chave do registro do windows, é uma fonte rica de dados preciosos que pode resolver uma lide emanada no judiciário.

Por exemplo, digamos que um criminoso se defenda e diga que o pendrive dele não foi utilizado no computador da vítima para infectar o computador, e assim, obter informações sigilosas e confidenciais. Basta o perito consultar o registro do windows e pronto, se o dispositivo USB estiver listado na chave de registro, é uma confirmação que o pendrive foi conectado na porta USB. Cabe o Juíz decidir se o criminoso realmente praticou tal ato com intenção de obter dados confidenciais, mas desde imediato, fica comprovado e derrubado a tese da defesa, em que foi alegado que o pendrive nunca foi inserido na USB do computador da vítima.

Para listar os dispositivos que um dia foi conectado na porta USB do computador, basta localizar a seguinte pasta no registro do windows:

1 – Clique em Iniciar, e digite regedit para entrar no registro do windows;

2 – Localize a seguinte chave no registro:

HLM -> System -> ControlSet001 ->  Enum -> USBTOR

Se existir ControlSet002, ControlSet003 e assim por diante… pesquise em todas essas chaves, pois em cada uma delas, na chave USBTOR, estará listado todos os dispositivos USB que um dia, passaram pelo computador.

 

Anúncios

4 respostas em “Listando todos os dispositivos que um dia conectaram na USB do computador

  1. Legal… mas como a gente faz para identificar a pendrive do sujeito?
    No meu editor de registro apareceram dezenas de pendrives, inclusive algumas do mesmo modelo. Tem como encontrar na pendrive alguma chave única? Procurei nas propriedades da minha mas não encontrei.

  2. Fabiano,

    Vamos ver se consigo te explicar. Dá um pouco de trabalho mas com o tempo, você encontra mais fácilmente.

    Primeiramete, localize o arquivo setupapi.log que está dentro de c:\windows

    Visualize a linha onde o pen drive foi inserido e reconhecido pelo windows para instalação do drive:

    [2009/11/22 11:35:47 1080.11 Driver Install]

    #-019 Procurando por identificações de hardware: storage\volume
    #-018 Procurando por identificações compatíveis: storage\volume
    #-198 Linha de comando processada: C:\WINDOWS\system32\services.exe
    #I022 Encontrado(a) “STORAGE\Volume” em C:\WINDOWS\inf\volume.inf; dispositivo: “Volume genérico”; driver: “Volume genérico”; provedor: “Microsoft”; fabr.: “Microsoft”; seção: “volume_install”
    #I023 Seção de instalação real: [volume_install]. Classificação: 0x00000000. Data efetiva do driver: 07/01/2001.
    #-166 Função de instalação de dispositivo: DIF_SELECTBESTCOMPATDRV.
    #I063 O driver selecionando instala da seção [volume_install] em “c:\windows\inf\volume.inf”.
    #I320 A GUID de classe do dispositivo permanece: {71A27CDD-812A-11D0-BEC7-08002BE2092F}.
    #I060 Driver selecionado configurado.
    #I058 Melhor driver compatível selecionado.
    #-166 Função de instalação de dispositivo: DIF_INSTALLDEVICEFILES.
    #I124 Fazendo uma instalação somente cópia de “STORAGE\REMOVABLEMEDIA\7&24B5F785&0&RM”.
    #-166 Função de instalação de dispositivo: DIF_REGISTER_COINSTALLERS.
    #I056 Co-instaladores registrados.
    #-166 Função de instalação de dispositivo: DIF_INSTALLINTERFACES.
    #-011 Instalando seção [volume_install.Interfaces] de “c:\windows\inf\volume.inf”.
    #I054 Interfaces instaladas.
    #-166 Função de instalação de dispositivo: DIF_INSTALLDEVICE.
    #I123 Fazendo uma instalação completa de “STORAGE\REMOVABLEMEDIA\7&24B5F785&0&RM”.
    #I121 A instalação do dispositivo de “STORAGE\REMOVABLEMEDIA\7&24B5F785&0&RM” foi concluída com êxito.

    Agora você sabe que o dispositivo a ser procurado no registro do windows é 7&24B5F785&0.

    Localize no registro e terá a chave onde ele está:

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR\Disk&Ven_Kingston&Prod_DataTraveler_2.0&Rev_1.00014780F9951F97195820980&0]
    “DeviceDesc”=”Unidade de disco”
    “Capabilities”=dword:00000010
    “UINumber”=dword:00000000
    “HardwareID”=hex(7):55,00,53,00,42,00,53,00,54,00,4f,00,52,00,5c,00,44,00,69,\
    00,73,00,6b,00,4b,00,69,00,6e,00,67,00,73,00,74,00,6f,00,6e,00,44,00,61,00,\
    74,00,61,00,54,00,72,00,61,00,76,00,65,00,6c,00,65,00,72,00,5f,00,32,00,2e,\
    00,30,00,31,00,2e,00,30,00,30,00,00,00,55,00,53,00,42,00,53,00,54,00,4f,00,\
    52,00,5c,00,44,00,69,00,73,00,6b,00,4b,00,69,00,6e,00,67,00,73,00,74,00,6f,\
    00,6e,00,44,00,61,00,74,00,61,00,54,00,72,00,61,00,76,00,65,00,6c,00,65,00,\
    72,00,5f,00,32,00,2e,00,30,00,00,00,55,00,53,00,42,00,53,00,54,00,4f,00,52,\
    00,5c,00,44,00,69,00,73,00,6b,00,4b,00,69,00,6e,00,67,00,73,00,74,00,6f,00,\
    6e,00,00,00,55,00,53,00,42,00,53,00,54,00,4f,00,52,00,5c,00,4b,00,69,00,6e,\
    00,67,00,73,00,74,00,6f,00,6e,00,44,00,61,00,74,00,61,00,54,00,72,00,61,00,\
    76,00,65,00,6c,00,65,00,72,00,5f,00,32,00,2e,00,30,00,31,00,00,00,4b,00,69,\
    00,6e,00,67,00,73,00,74,00,6f,00,6e,00,44,00,61,00,74,00,61,00,54,00,72,00,\
    61,00,76,00,65,00,6c,00,65,00,72,00,5f,00,32,00,2e,00,30,00,31,00,00,00,55,\
    00,53,00,42,00,53,00,54,00,4f,00,52,00,5c,00,47,00,65,00,6e,00,44,00,69,00,\
    73,00,6b,00,00,00,47,00,65,00,6e,00,44,00,69,00,73,00,6b,00,00,00,00,00
    “CompatibleIDs”=hex(7):55,00,53,00,42,00,53,00,54,00,4f,00,52,00,5c,00,44,00,\
    69,00,73,00,6b,00,00,00,55,00,53,00,42,00,53,00,54,00,4f,00,52,00,5c,00,52,\
    00,41,00,57,00,00,00,00,00
    “ClassGUID”=”{4D36E967-E325-11CE-BFC1-08002BE10318}”
    “Service”=”disk”
    “ConfigFlags”=dword:00000000
    “ParentIdPrefix”=”7&24b5f785&0”
    “Driver”=”{4D36E967-E325-11CE-BFC1-08002BE10318}\036”
    “Class”=”DiskDrive”
    “Mfg”=”(Unidades de disco padrão)”
    “FriendlyName”=”Kingston DataTraveler 2.0 USB Device”

  3. Como Zerar o registro de devices USB como se nunca houvesse ligado qualquer dispositivo a USB?
    Preciso re-registrar um dispositivo que ficou com registro pendente (inacabado) para usá-lo na USB.

  4. Basta apagar todas as chaves existentes dentro da chave HLM -> System -> ControlSet001 -> Enum -> USBTOR, e das outras chaves como: HLM -> System -> ControlSet, HLM -> System -> ControlSet002, e assim por diante.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s