获取U盘神秘的最后访问时间(上)

叮铃......“最新消息,从11月1日起,《中华人民共和国个人信息保护法》将正式实施......”。

叮、叮铃.......“据本台记者最新报道,我市公安局近期成功打掉一个非法倒卖公民个人信息的犯罪团伙......”。

桌上手机的屏幕接连蹦出了几条新闻消息,可是简睿丝毫没有将目光从案件卷宗上移开的意思。

他正在灯下若有所思,他的徒弟蔡学飞从外面推门走了进来。


“师父,您怎么还没休息呢?十点都过了!”,蔡学飞风风火火地走到办公桌旁,将一盒点心轻轻放在了简睿的桌上。

蔡学飞一边打开盒子,一边埋怨道,“要不是秦队提醒我,我还以为您早就回家了呢!”

徒弟蔡学飞的到来打断了简睿的思路,他皱了皱眉,看了一眼盒子里的东西,巧了,正是他喜欢吃的桃酥饼。

简睿眼睛一亮,正好肚子有点饿了,他也不客气,头都没抬就抓起一块桃酥饼咬上一口。

蔡学飞在一旁瞅着老师的吃相,不禁扑哧一乐,“味道咋样?这可是我家珍藏了七七四十九天的高档点心,我爸都没舍得给他吃呢!”

简睿正想说什么,却被桃酥噎呛了两口,蔡学飞吓了一跳,立马递上水杯。

“您倒是慢点啊!您要是有个三长两短的,秦队可要拿我开刀了啊!”

“咳咳,你小子是不是又憋着什么坏呢啊?”简睿喝了几口水,喘了口气。

“那我不是得把您的手艺学会学精嘛!我现在就一小菜鸟,啥也不会啊!”

“你还啥都不会啊,你不是正规警官学校毕业的?”简睿白了他一眼,顺手抄起了第二块桃酥。

“嘿嘿,师父见笑啦!我那点本事您还不知道嘛!

就拿最近那个个人信息倒卖案来说,要不是师父,我们也不可能拿到指认“莉姐”的关键证据啊!”

蔡学飞嬉皮笑脸凑近简睿耳边,“师父,嘿嘿,其实是秦队让我来向您请教,您是怎么从“牛二”电脑里把胡某莉的U盘使用时间记录给查出来的?”

简睿吞下最后一口桃酥,拍了拍手、抹了抹嘴,“哦?是秦队让你小子来学的,还是你小子自己真想学?”

“那必须是我自己啊,当然秦队也希望我能帮您分担分担。另外师父本事大,徒弟我学个一两样的也能保我饿不着冻不死。”

蔡学飞瞪着两只大眼睛一脸认真,以恳求的语气说道:“师父,您就教我两招吧!就当现在休息休息,和我聊聊天放松放松哈!”

简睿扶了扶眼镜盯着眼前的这个徒弟,“好吧,我就和你唠唠,说好了啊,我说完你就回家,别妨碍我工作哦!”

“太棒了!没问题,您就给我讲讲那个U盘历史记录是咋给整出来的吧!”

简睿示意蔡学飞搬把椅子坐在旁边,“这就要从头说起了......”


重大案情回顾

就在数天前,当地公安局破获一起倒卖个人信息案。

根据有关线索,犯罪嫌疑人胡某莉(外号“莉姐”)曾与从事快递行业的牛某(外号“牛二”)串通勾结,大量非法获取并倒卖公民个人信息。

大量关键证物已被警方查获,但由于最为关键的电脑U盘使用时间问题,犯罪嫌疑人始终百般抵赖、拒不认罪。

考虑到案情重大,又在《个人信息保护法》出台实施之际,专案组长秦队找到了简睿,希望他能起到关键重要作用,帮忙解决这个棘手的大难题。


秦壮:“简睿,你是信息安全方面的专家,现在这个案子案情重大,市局领导都非常重视,你给看看,帮个忙吧!”

简睿:“这个案子的大致情况我已经了解过了,不过你们不都已经人赃俱获,还需要我怎么帮呢?”

秦壮:“哦,是这样,我们已经查获了“牛二”的个人电脑,他的电脑里存有大量各个小区用于快递联系的个人信息。

而这个“莉姐”,就是倒卖信息的犯罪嫌疑人之一,她在之前某一天下午的一点到三点之间曾经使用过“牛二”的电脑。

而在她自己的住处我们也查获了她的U盘,现在我们需要查证在“牛二”的电脑上是否使用过“莉姐”的U盘,并且最为重要的是在刚才所说的时间段内是否有过这个U盘的使用记录,这样我们就算是掌握了坐实犯罪的证据。”

简睿:“明白了!秦队请放心,我立刻展开调查!”


利用工具软件

简睿:“当我们想要查看U盘的使用记录时,自然而然地会先想到一些第三方的工具软件。

比如,UsbViewerUSBDeview 之类的,的确很方便易用,但是它们并不完美,也并不完全能给我们带来帮助。”

蔡学飞:“师父,这些工具软件上不是可以查出某项U盘的使用时间吗?”

简睿:“你仔细看看,上面只写着创建日期和最后的插拔日期。而后者并不能有效地反映出使用U盘的具体时间段。

到底什么时候插入,又是什么时候拨出,这些并不明确。”


“你再看这里“,简睿打开了几个程序,“即便是不同版本甚至不同软件,所显示的时间也是各不相同,充其量只有第一次安装时间和最后一次使用时间,概念非常模糊,不够精确!”

(以下软件如有需要,请关注@网管小贾留言获取。)


蔡学飞:“哦,还真是!那要怎么才能查出具体的插拔时间呢?”

简睿:“嗯,单纯依靠手头现有的工具软件已经不能满足我们的调查需求了,所以我们要另辟蹊径,自己去调查获取。

不过在此之前,我们先要搞懂原理。”

蔡学飞:“师父,您快讲讲原理!”


系统记录U盘使用的原理

简睿:“根据我查找的大量参考资料,Windows平台下U盘的使用历史记录均被系统存放在了注册表中。

那么具体这些记录信息被存放到了哪些地方呢?

我们可以通过手工查询注册表的方式来一探究竟。”


“实际上所有的U盘信息都会被分散记录到以下注册表项的子项中。”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
 


“而在 USBSTOR 展开的子项中,我们就可以清楚地看到之前我们使用U盘的记录了。”


“每一行就是一个设备,当我们展开每一行记录项时,还可以看到一串为标识U盘系统所生成的数字编码。

点击选中这个数字编码,在右侧的窗口中有一项名为 FriendlyName 的字符串键即是我们所看到的U盘的友好名称。

比如本例中U盘的名称为 SanDisk Cruzer Blade USB Device

通常我们可以按照这个名称来定位指定调查的U盘。”


简睿接着说:“虽然其他的一些有关于使用这个U盘的基本信息都可以很容易地获取到,但是遗憾的是,我们想要的接入时间却并不在这里。”

“啊?那在哪儿?”蔡学飞张大了嘴巴。

简睿笑道:“实际上它们被隐藏在了属性 Properties 子键中。”

蔡学飞:“那我们点击展开 Properties 查看不就行了?”

简睿当场演示:“你太天真了,为啥我要说是被隐藏的,就是因为这个 Properties 是无法直接打开的,你瞧!”


“如果你直接点击 Properties 这一项,就会收到一个打开错误的提示。

上面写得很清楚,无法打开,拒绝访问,即便是管理员权限也会被拒之门外。”


“哎?为啥到这里就打不开了呢?”蔡学飞当场懵了。

简睿停顿了一下,“我不知道原因,可能里面有一些秘密,它并不想让我们普通的用户知道吧。”

“那我就是想看看里面应该怎么办呢?”蔡学飞迫不及待地追问道。

“其实也是有办法的,需要设置权限,而这个权限就是我们普通用户通常情况下用不到的 SYSTEM 权限。”

简睿一边用手比划着一边说,“这也就是我们即便使用管理员权限也无法打开它的缘故。”

蔡学飞似乎想到了什么,“ SYSTEM 权限似乎比 Administrator 更高级一些吧?”

“没错!好了,我们就来看看如何撬开这把需要 SYSTEM 权限的锁!”


未完待续......


声明:本故事纯属虚构,如有雷同,不用多想,就是那么巧!

本文测试均在 Windows 10 系统平台上展开,部分测试内容并不一定适用于其他系统。


扫码关注@网管小贾,阅读更多

网管小贾的博客 / www.sysadm.cc



提交评论

安全码
刷新

© 2020-present 网管小贾 | 微信公众号 @网管小贾
许可协议:CC-BY-NC 4.0 | 转载文章请注明作者出处及相关链接