Les événements de déconnexion USB sont-ils enregistrés dans Windows 7? (Quand ma souris a-t-elle été volée?)

19

Je sais que cela semble un peu ridicule, mais quelqu'un a volé ma souris dans mon armoire .. Je suis venu travailler le matin et j'étais sur le point de donner un petit coup de pouce à ma souris pour réveiller le moniteur, mais ce n'était pas là!

J'essaie de comprendre quand cela s'est produit. J'utilise Windows 7 et c'est une souris USB. J'ai vérifié les journaux d'événements, mais il ne semble pas y avoir de journaux qui pourraient me dire ce que je recherche.

Y a-t-il un endroit où les événements de déconnexion USB sont enregistrés?

pepsi
la source
7
Mon journal des événements s'appelle une caméra de sécurité.
Bart Silverstrim
3
Je trouve généralement des souris manquantes dans la sécheuse.
GregD
2
Préparez un piège, achetez une caméra cachée et une souris plus agréable pour tempérer à nouveau le voleur.
Moab
2
J'adore cette question, j'aimerais voir sa réponse ...
studiohack
3
le coupable a-t-il déjà été attrapé?
attiré

Réponses:

5

Il n'y en a malheureusement pas de journal - ces événements sont perdus à jamais. J'ai toujours voulu un dmesgéquivalent sur Windows.

Avec Windows XP et versions antérieures, vous pouvez utiliser winmsdpour produire une sortie de configuration système, mais dans les versions ultérieures, il a été remplacé par msinfo32(application graphique dont je ne suis pas sûr de pouvoir analyser la sortie).

Cependant, ces deux informations ne vous fournissent que des informations ponctuelles.Par conséquent, pour le travail de détective contre le vol de souris, vous devez consigner régulièrement la sortie d' winmsdun fichier. Je dois admettre que j'irais personnellement avec la suggestion de webcam à l'avenir.

Simon
la source
Mais est-il "possible" pour un programme Windows de le faire? Ou la fonctionnalité n'est-elle tout simplement pas disponible dans Windows (les programmes n'ont donc pas la capacité de le faire)?
Pacerier
2
En fait, il existe un fichier journal pour cela. Il s'appelle Microsoft-Windows-DriverFrameworks-UserMode-Operational.evtx mais il est désactivé par défaut sur Win10.
StackzOfZtuff
7

Il est peut-être trop tard maintenant, mais il existe quelques logiciels qui feront exactement cela. Le plus simple à utiliser étant USBLogView

D'autres options, moins conviviales, sont l' analyseur de stockage USB Windows ou USBView de Microsoft (UVCView sur Win7), fourni avec le kit de pilote Windows (WDK).

Si vous voulez vraiment vous salir les mains, ouvrez RegEdit et recherchez les entrées suivantes:

Description : Liste des périphériques USB installés, connectés et non connectés Emplacement : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB Pourquoi cela vous intéresse : Il peut être utile de savoir quels périphériques USB ont été connectés à une boîte, et même le fournisseur et le numéro de série de l'appareil dans certains cas. Vous pensez que quelqu'un a copié les données sur une clé USB? Cela peut vous aider à identifier la clé USB. Pensez à quel point il peut être utile de lier quelque chose qu'un utilisateur physique possède à une boîte.

Description : Liste des périphériques de stockage USB installés Emplacement : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR Pourquoi vous vous souciez : Tout comme l'entrée des périphériques USB installés, mais uniquement pour le stockage USB. Vous pensez que quelqu'un a copié les données sur une clé USB? Cela peut vous aider à identifier la clé USB. CleanAfterMe nettoie HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB mais pas USBSTOR lors de mon dernier test.

Gaia
la source
1
La surveillance de ces clés avec Procmon.exe de SysInternals a fait exactement ce dont j'avais besoin.
Doug Wilson