编号 zgly0000987627
文献类型 期刊论文
文献题名 Windows操作系统环境下调查USB设备使用痕迹方法研究
作者单位 中国刑事警察学院网络犯罪侦查系
母体文献 刑事技术
年卷期 2015(2)
页码 138-141
年份 2015
关键词 电子物证 USB设备 使用痕迹 注册表 设备序列号 系统文件
文摘内容 获取送检介质曾经挂载的USB设备使用痕迹,是电子数据取证实践中典型鉴定需求之一。虽然现有取证工具有的声称支持此类信息的分析,但实际工作中发现其提取到的痕迹(特别是USB设备序列号)并不准确,同时也不够全面(如缺少USB设备被分配的盘符信息),难于满足取证实践的需要。传统的此类痕迹调查完全依靠注册表中的USBSTOR表键,为弥补其不足,本文基于电子数据取证视角,在详细说明USBSTOR表键取证关键的基础上,增加了USB和UMB表键的分析;并阐述了在相关注册表键被清除的情况下,如何依靠系统文件补充调查USB设备使用过程中可能留有的痕迹。实践证明,所述方法准确高效。