Werden USB-Unplug-Ereignisse in Windows 7 protokolliert? (Wann wurde meine Maus gestohlen?)

19

Ich weiß, das klingt irgendwie lächerlich, aber jemand hat meine Maus aus meiner Kabine gestohlen. Ich kam am Morgen zur Arbeit und wollte meiner Maus einen kleinen Schubs geben, um den Monitor aufzuwecken, aber es war nicht da!

Ich versuche herauszufinden, wann das passiert ist. Ich verwende Windows 7 und es ist eine USB-Maus. Ich habe die Ereignisprotokolle überprüft, aber es scheint keine Protokolle zu geben, die mir sagen könnten, wonach ich suche.

Gibt es einen Ort, an dem USB-Unplug-Ereignisse protokolliert werden?

pepsi
quelle
7
Mein Ereignisprotokoll wird als Überwachungskamera bezeichnet.
Bart Silverstrim
3
Ich finde in der Regel fehlende Mäuse im Trockner.
GregD
2
Stelle eine Falle auf, kaufe eine versteckte Kamera und eine schönere Maus, um den Dieb wieder zu tempeln.
Moab
2
Ich liebe diese Frage, würde sie gerne beantwortet sehen ...
studiohack
3
Wurde der Täter jemals gefasst?
Drew

Antworten:

5

Leider gibt es kein Protokoll darüber - diese Ereignisse sind für immer verloren. Ich wollte immer ein dmesgÄquivalent unter Windows.

Unter Windows XP und früher können Sie winmsdeine Systemkonfigurationsausgabe erstellen. In späteren Versionen wurde sie jedoch durch msinfo32(GUI-Anwendung, deren Ausgabe ich nicht so genau analysieren kann) ersetzt.

In beiden Fällen erhalten Sie jedoch nur Informationen zu einem bestimmten Zeitpunkt. Für die Arbeit mit Mausdiebstahl-Detektiven müssen Sie daher die Ausgabe regelmäßig winmsdin einer Datei protokollieren . Ich muss zugeben, dass ich mich in Zukunft persönlich dem Webcam-Vorschlag anschließen würde.

Simon
quelle
Aber ist es für ein Windows-Programm "möglich", dies zu tun? Oder ist die Funktionalität in Windows einfach nicht verfügbar (Programme können dies also nicht)?
Pacerier
2
Eigentlich gibt es dafür eine Logdatei. Es heißt Microsoft-Windows-DriverFrameworks-UserMode-Operational.evtx, ist jedoch unter Win10 standardmäßig deaktiviert.
StackzOfZtuff
7

Es könnte jetzt zu spät sein, aber es gibt ein paar Software-Teile, die genau das tun. Am einfachsten ist es, USBLogView zu verwenden

Andere Optionen, die nicht besonders benutzerfreundlich sind, sind der Windows USB-Speicherparser oder Microsoft USBView (UVCView unter Win7), die mit dem Windows Driver Kit (WDK) geliefert werden.

Wenn Sie sich wirklich die Hände schmutzig machen möchten, öffnen Sie RegEdit und suchen Sie nach den folgenden Einträgen:

Beschreibung : Liste der installierten USB - Geräte, die beide verbunden und unverbundener Ort : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB Warum Sie sich interessieren : Es kann nützlich sein , zu wissen , was USB - Geräte an eine Box angeschlossen werden, und auch die Hersteller und die Seriennummer des Geräts in einigen Fällen. Denken Sie, jemand hat die Daten auf einen USB-Stick kopiert? Dies kann Ihnen dabei helfen, festzustellen, welchen Thumbdrive Sie verwendet haben. Überlegen Sie, wie nützlich es sein kann, etwas, das ein Benutzer physisch besitzt, an eine Box zu binden.

Beschreibung : Liste der installierten USB - Speichergeräte Standort : HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USBSTOR Warum Sie sich interessieren : Ähnlich wie die USB - Geräte - Eintrag installiert, aber nur für USB - Speicher. Denken Sie, jemand hat die Daten auf einen USB-Stick kopiert? Dies kann Ihnen dabei helfen, festzustellen, welchen Thumbdrive Sie verwendet haben. CleanAfterMe löscht HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ USB, aber nicht USBSTOR, als ich das letzte Mal getestet habe.

Gaia
quelle
1
Das Überwachen dieser Schlüssel mit Procmon.exe von SysInternals aus hat genau das getan, was ich brauchte.
Doug Wilson