各位好，u盘上会有操作文件的记录吗？很多人还不知道这一点。下面详细解释一下。现在让我们来看看！

文件使用记录在u盘里吗？

(你有u盘的使用记录吗？

作为一个**单位，每一次**检查USB检查都是重点，但是现在网上到处都是清理工具，专业的检查工具也不一定好用，为检查人员提供了一些有用的工具。今天，我将把我的观点贡献给你。接下来做一个专业的工具来分享。本文仅代表个人观点。有什么意见尽管拍我。

USB是一种外部总线标准，用于计算机与外部设备的连接和通信。典型的USB这种设备主要包括u盘、移动硬盘、数码相机、扫描仪、影像设备、打印机、键盘和鼠标。

目前大家都在用UsbViewer提取USB设备信息，主要包括设备名称、设备类型、设备序列号、首次挂载时间、最新挂载时间等。该工具完全依赖注册表来收集信息。删除相关的注册表项(比如自带“清理痕迹”功能的UsbViewer)，什么都找不到。其实在操作系统的整体环境下分析USB设备的使用痕迹还是有很多方法的。

Windows环境下USB使用痕迹的研究

1.1基于注册表的USB设备使用痕迹调查

注册表是USB设备使用跟踪的主要和最重要的来源。

其中，ControlSetXXX和CurrentControlSetXXX有相似之处。有ControlSet001、ControlSet002、CurrentControlSet等子项(CurrentControlSet一般只有一个子项，可能有几种特殊情况，如CurrentControlSet001等。，而同一个控件集一般只有控件集001和控件集002。特殊情况下，这两个可能有几个)。当前控制集保存系统的当前配置信息，而控制集001等是当前配置信息的备份。一般会有两个以上的注册表备份，有时可能会更多。一般情况下，ControlSetXXX中的信息与CurrentControlSet中的信息相同。因此，在检测和删除USB存储设备信息时，不仅要检测CurrentControlSet，还要检测子密钥ControlSetXXX子密钥。Enum下的USB表键使用格式VID_v(4)和PID_d(4)来描述USB设备。Enum\下的USBtablekey使用格式VID_v(4)&PID_d(4)描述USB设备v(4)的卖家代码，代表4位数字(由USB协会分配给卖家)；D(4)代表4位数字的产品代码(卖方指定的产品)。USBSTOR表键在磁盘&ven_Imanufacturer&prod_Iproduct&rev_r(4)中进行了说明。IManufacturer表示制造商，iProduct表示设备类型，r(4)是校正代码。UsbViewer工具基于USBSTOR表键提取信息，因此获得的序列号通常不完全准确。值得一提的是，如果设备中不包含USB的序列号信息，那么Windows设备会被系统自动生成的字符串识别。USB表密钥和USBSTOR表密钥不包含安装时间信息。实际上，这里的时间信息是以属性的形式存储的。选择序列号名称中的子项，右键选择右键选择导出，选择“保存类型”为“文本文件”。打开保存的文本文件以获取时间信息。还需要指出的是，USBSTOR表键下有一个nameParentIdPrefix键值，关联的键值数据MountedDevices可以表示表键USB设备的盘符信息。MountedDevices的表键下的信息只存储最后挂载的信息ParentIdPrefix键信息，无法跟踪驱动器号分配的历史。Windows注册表不再包含7中的ParentIdPrefix项值，但驱动器号是通过将设备序列号与设备序列号MountedDevices表项相关联来确定的。Windows7.10中新设置的UMB表键为追踪USB提供了更大的便利。该设备提供[2]。它涵盖了USB和USBSTOR表键的重要信息，指明了USB设备分配的盘符，弥补了MountedDevices表键的不足。对于Control\DeviceClasses来说，就子项而言，存储是为了GUID设备信息的分类，其中有几个是与和谐USB设备相关的(它们在微软USB存储设备I/O控制头文件USBIODEF中定义。h和NTDDSTOR。h，对自己感兴趣就去MSDN):

1.2根据系统文件调查USB设备使用痕迹。

Windows7.10系统分区下的文件\Windows\INF\setupAPI.dev.log(WindowsXP环境下为\Windows\setupapi.log)包含了相关的设备更换、驱动更改和重要的系统修改。该文档记录了制造商、设备类型、设备序列号、首次安装时间和其他详细信息USB设备信息。该文档记录了制造商、设备类型、设备序列号、首次安装时间和其他详细信息USB设备信息。基于该文档的分析通常可以达到与注册表相同的效果。

Windows7.10事件日志增加了对USB设备的审核。查询也可以知道。日志检索是最有效的检查手段。

为了方便电脑用户快速找到最近使用过的文件，Windows设置了操作系统最近文件夹，文件夹的默认存储路径为\users\username\appdata\roaming\Microsoft\Windows\recent(WindowsXP下为\documentsandsettings\username\recent)。最近文件夹具有隐藏属性，只有在文件夹选项中取消隐藏受保护的操作系统文件后，才能正常检查。最近文件夹具有隐藏属性，只有在文件夹选项中取消隐藏受保护的操作系统文件后，才能正常检查。存储在文件夹中的最近使用的文件实际上是扩展名为lnk的文件(或文件夹和应用程序)的快捷方式。这类快捷文件包含目标文件属性和用户操作信息，会随着用户行为的变化而变化。该工具对WFA(WindowsFileAnalyzer)嵌入到fast文件中的目标文件的信息进行分析，主要包括目标文件的路径、创建时间、修改时间和访问时间。

另外，在Windows7之后，为了实现跳转列表功能，一个扩展名为automaticdestations-ms的文件(\Users\？ame%\appdata\roaming\Microsoft\windows\Recent\automaticdestinations文件夹)，也可用于分析Recent文件夹中fast文件的类似跟踪信息。

IconCache.db是Windows用来缓存图标文件的操作系统。在Windows中，该文件位于7系统中的C:\users\username\appdata\local\文件夹下(在WindowsXP中，该文件存储在系统中的C:\documentandsettings\username\localsettings\applicationdata下)。IconCache.db是一个隐藏文件，所有文件和文件夹都需要显示在文件夹选项中才能正常查看。IconCache.db是一个隐藏文件，所有文件和文件夹都需要显示在文件夹选项中才能正常查看。Windows操作系统图标Cache.db文件用于缓存图标信息，文件图标可以快速显示在特定文件夹中，减少系统重分析带来的负担。

当用户使用Windows时，系统会逐渐将文件图标、文件存储路径等信息添加到IconCache.db中，当用户将USB存储设备连接到计算机系统时，如果USB存储设备的根目录中包含可执行程序，是否工作，文件名、图标、存储位置的USB驱动器号等信息。将自动添加到IconCache.db数据库中。另外，如果用户浏览的文件包含可执行程序，会自动添加相应的信息。基于IconCache.db文件分析USB设备使用痕迹的局限性是对应文件夹中的可执行程序，只能分析盘符信息。

当然，结合数据恢复技术，这些操作基本很难隐藏痕迹。

以上说明了在u盘上操作文件时电脑上是否会有记录。这篇文章已经分享到这里了，希望能帮到大家。