Sie befinden sich im Bereich Forensik. Nach diesen Informationen sollten Sie in Google suchen. Das Problem mit einigen davon ist, dass es nicht offiziell dokumentiert ist. Alle externen Geräteinformationen, auch wenn sie zuvor angehängt wurden, werden jedoch in bestimmten Registrierungsschlüsseln aufgezeichnet. Der Trick ist herauszufinden, welches und in welchem Format.
Es ist schon eine Weile her, aber ich erinnere mich, dass ich angefangen habe mit:
HKLM \ System \ MountedDevices
Das Format für jeden Schlüssel ist REG_BINARY, aber es ist 16-Bit-Text. Für jedes angeschlossene Gerät gibt es GUIDs, den Gerätenamen und die Seriennummer.
Ohne es selbst zu tun, kann ich Ihnen einige Beispiele nennen. Z.B:
Name: \ ?? \ Volume {c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID ...}
Wenn ich die Daten in REG_BINARY dekodiere, erhalte ich eine GUID, die beispielsweise auf Folgendes verweist:
Name: "\ DosDevices \ E:" REG_BINARY ..... (gleiche GUID hier irgendwo)
So erhalten Sie die Details und die Seriennummer von der ersten und sehen, wo es in der zweiten verbunden war. Die GUID kann auch verwendet werden, um dasselbe USB-Gerät und seine Seriennummer in anderen Schlüsseln zu finden, insbesondere:
HKLM \ SYSTEM \ ControlSet001 \ Control \ DeviceClasses \ {GUID}
Kurz gesagt, ein paar andere Schlüssel, die Sie interessieren:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MountPoints2
Wenn eine GUID aus dem Schlüssel "HKLM \ SYSTEM \ MountedDevices" mit einer GUID in diesem Schlüssel übereinstimmt (für diesen Benutzer - es ist HKCU, nicht HKLM), wird angezeigt, welcher Benutzer angemeldet war, als das bestimmte USB-Gerät angeschlossen wurde. Die "Last Write Time" ist auch hier irgendwo.
HKLM \ SYSTEM \ CurrentControlSet \ Control \ DeviceClasses \
Die Unterschlüssel hier (wieder GUID) enthalten den Gerätenamen, die Seriennummer und andere GUID-Unterschlüssel. Es wird auch eine Zeitleiste erfasst, in der angegeben ist, wann jedes Gerät angeschlossen und später entfernt wurde.
Ich habe mich nicht eingehend mit tatsächlichen Beispielen befasst, da ich REG_BINARY entschlüsseln muss, aber ich kann diesen Beitrag erneut bearbeiten und Details hinzufügen, wenn Sie dies wünschen. Beachten Sie, dass ich REG QUERY verwendet habe, um dies zu durchforsten, aber ich habe gerade bemerkt, dass regedit das Detail für Sie dekodiert, wenn Sie auf einen Schlüssel doppelklicken (nicht bearbeiten !!)