分析指南：USB

2005年，Cory Altheide和我发表了首篇关于在Windows系统上追踪USB设备的同行评审论文。多年来，不仅看到相关痕迹不断扩展和演变，还看到人们接过接力棒，继续描述作为调查一部分开发这些信息的"指南"，这令人惊叹。不仅像Raspberry Robin这样的恶意软件通过USB设备传播，而且随着其他可以通过USB连接但使用不同协议的设备兴起，在指南中操作这种分析变得更加重要。毕竟，为什么不通过自动化来消除解析中低效、易出错、纯粹手动的方面呢？

Morad R. 撰写了一系列文章，概述了可以检查的不同数据/痕迹来源，以识别连接到端点的USB设备，并将设备使用归因于特定用户。这一系列文章展示了一些步骤，开始揭开面纱，解析Windows系统上USB设备的使用。虽然肯定还有更多工作要做和分享，但这些文章共同的重要因素是时间线的使用。

USB取证，第一部分：揭示连接的设备 - 专注于系统注册表配置单元，并从Properties键值中提取时间戳。专注于时间线是开始这项工作的好方法，因为这样做直接将分析师带到上下文。然而，仅关注系统配置单元中的USB和USBStor键，会错过其他设备（智能手机、数码相机）。但这本身并不是问题，因为相同的指南可以应用于适当的注册表键。

USB取证，第二部分：将设备映射到用户和驱动器号 - 专注于用户的NTUSER.DAT，但没有提到其他痕迹，如shellbags、RecentDocs、UserAssist等，这些可以用来将额外的用户活动与设备关联，特别是通过时间线。RegRipper仍然使用"配置文件"，这是我用来描述后来被称为"指南"的术语。或者，另一种看待它的方式是你可以通过这些配置文件实现指南。

USB取证，第三部分：事件日志时间线 - 继续关注时间线，这很好。然而，这些日志在技术上被称为"Windows事件日志"；“事件日志"指的是Windows 2000、XP和2003时代的日志。我理解，对于大多数分析师来说，这是一个没有区别的区别，特别是那些从未需要处理旧系统的事件日志记录，只熟悉自Windows Vista以来实施的新格式的分析师。

所有这三篇文章共同构成了一个良好的基础，是解决Windows端点上USB连接设备的重要第一步。正如该领域自2005年以来不断增长和扩展，未来也将继续如此。除了提供数据源外，对时间线的底层依赖（或至少指向时间线的方向）我认为是基础性的。从时间线开始，不要让时间线成为在所有其他事情完成后手动组装的东西。我们总是可以添加或删除数据源，创建新的RegRipper或Events Ripper插件等，但创建时间线应该是"第一原则”。

在我目前的角色中，我不需要确定诸如连接到Windows系统的USB设备之类的事情，但如果我需要，我肯定会使用Events Ripper插件来提取这些信息，甚至可能将其关联起来，以易于查看的方式呈现。

这只是我博客中明确涉及USB设备的部分内容：

• 旧与新…与USB - 2006-09-26
• 来自实验室：通过LNK文件映射USB设备 - 2007-04-09
• 如何：USB拇指驱动器 - 2012-02-04
• 如何：将连接的设备与用户关联 - 2013-07-01
• USB设备重现，带时间线 - 2022-05-26