CN109784103B - 一种usb设备使用记录的获取方法和装置及存储介质 - Google Patents
一种usb设备使用记录的获取方法和装置及存储介质 Download PDFInfo
- Publication number
- CN109784103B CN109784103B CN201910054037.5A CN201910054037A CN109784103B CN 109784103 B CN109784103 B CN 109784103B CN 201910054037 A CN201910054037 A CN 201910054037A CN 109784103 B CN109784103 B CN 109784103B
- Authority
- CN
- China
- Prior art keywords
- usb
- equipment
- registry
- file
- acquiring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种USB设备使用记录的获取方法和装置及存储介质。该获取方法包括:从注册表中导出与USB设备相关的系统文件;对系统文件进行解析,得到USB设备的基本信息;根据基本信息判断USB设备是否为USB存储设备;根据判断结果获取USB设备的使用记录。本发明能够获取完整的USB设备的使用记录,因此,提高了监管力度,并进一步提升了系统的安全性。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种USB(Universal Serial Bus,通用串行总线)设备使用记录的获取方法和装置及存储介质。
背景技术
随着信息化的迅猛发展,在给人们带来很多便利和利益的同时,也给保密工作带来了严峻的挑战。由于主机的安全管理在信息安全对抗和信息安全保密中占据越来越重要的地位,因此,如何加强主机的安全管理和监督检查,并通过管理手段提升防护能力已经成为安全防护的发展趋势之一。
通常,USB设备的使用记录的获取对于安全审计工作尤为重要。现有技术中,只能通过查看USB存储设备在保存日志中的第一次连接时间和部分历史时间来获取USB设备的使用记录;然而,日志中并没有针对所有USB设备的历史使用情况的完整记录,这给审计工作带来一定的困难。
因此,如何获取完整的USB设备的使用记录是目前亟待解决的问题。
发明内容
有鉴于此,本发明的一个目的在于提供一种USB设备使用记录的获取方法和装置及存储介质,能够获取完整的USB设备的使用记录。
本发明的一个方面提供一种USB设备使用记录的获取方法,包括:从注册表中导出与USB设备相关的系统文件;对系统文件进行解析,得到USB设备的基本信息;根据基本信息判断USB设备是否为USB存储设备;根据判断结果获取USB设备的使用记录。
在本发明的一个实施例中,系统文件包括USB键的注册表文件,对系统文件进行解析,得到USB设备的基本信息,包括:从USB键的注册表文件中读取USB设备的基本信息,其中,基本信息包括USB设备的设备序列号、销售商代码和产品代码。
在本发明的一个实施例中,根据基本信息判断USB设备是否为USB存储设备,包括:根据销售商代码和产品代码确定USB设备的销售商和产品名称;根据销售商和/或产品名称确定USB设备是否为USB存储设备。
在本发明的一个实施例中,系统文件还包括USBSTOR键的注册表文件和USB存储设备的事件日志文件,根据销售商和/或产品名称确定USB设备是否为USB存储设备,包括:在预设数据库或预定网络页面中查询销售商和/或产品名称,并根据查询结果确定USB设备是否为USB存储设备。
在本发明的一个实施例中,根据判断结果获取USB设备的使用记录,包括:如果USB设备为USB存储设备,则根据设备序列号,从USBSTOR键的注册表文件中获取USB设备的第一次插入时间,以及从事件日志文件中获取USB设备的插拔时间;根据第一次插入时间和插拔时间生成数据信息表,以得到USB设备的使用记录。
在本发明的一个实施例中,根据判断结果获取USB设备的使用记录,包括:如果USB设备为USB非存储设备,则从USB键的注册表文件中获取USB设备的最后一次插入时间;根据最后一次插入时间生成数据信息表,以得到USB存储设备的使用记录。
在本发明的一个实施例中,在得到USB存储设备的使用记录之后,该获取方法还包括:周期性地更新数据信息表,以获取USB存储设备的历史使用记录。
在本发明的一个实施例中,在从注册表中导出与USB设备相关的系统文件之前,该获取方法还包括:使用具有注册表的导出权限的账户登录或远程登录操作系统。
本发明的另一个方面提供一种USB设备使用记录的获取装置,包括:导出模块,配置为从注册表中导出与USB设备相关的系统文件;解析模块,配置为对系统文件进行解析,得到USB设备的基本信息;判断模块,配置为根据基本信息判断USB设备是否为USB存储设备;获取模块,配置为根据判断结果获取USB设备的使用记录。
在本发明的一个实施例中,系统文件包括USB键的注册表文件,解析模块从USB键的注册表文件中读取USB设备的基本信息,其中,基本信息包括USB设备的设备序列号、销售商代码和产品代码。
在本发明的一个实施例中,判断模块根据销售商代码和产品代码确定USB设备的销售商和产品名称;根据销售商和/或产品名称确定USB设备是否为USB存储设备。
在本发明的一个实施例中,系统文件还包括USBSTOR键的注册表文件和USB存储设备的事件日志文件,判断模块在预设数据库或预定网络页面中查询销售商和/或产品名称,并根据查询结果确定USB设备是否为USB存储设备。
在本发明的一个实施例中,如果USB设备为USB存储设备,则判断模块根据设备序列号,从USBSTOR键的注册表文件中获取USB设备的第一次插入时间,以及从事件日志文件中获取USB设备的插拔时间,并根据第一次插入时间和插拔时间生成数据信息表,以得到USB设备的使用记录。
在本发明的一个实施例中,如果USB设备为USB非存储设备,则判断模块从USB键的注册表文件中获取USB设备的最后一次插入时间,并根据最后一次插入时间生成数据信息表,以得到USB存储设备的使用记录。
在本发明的一个实施例中,该获取装置还包括:更新模块,配置为周期性地更新数据信息表,以获取USB存储设备的历史使用记录。
在本发明的一个实施例中,该获取装置还包括:登录模块,配置为使用具有注册表的导出权限的账户登录或远程登录操作系统。
本发明的再一个方面提供一种存储介质,其上存储有可执行指令,其特征在于,该可执行指令被处理器执行时实现如上所述的方法。
根据本发明实施例提供的技术方案,通过从注册表中导出与USB设备相关的系统文件;对系统文件进行解析,得到USB设备的基本信息;根据基本信息判断USB设备是否为USB存储设备;根据判断结果获取USB设备的使用记录,能够获取完整的USB设备的使用记录,因此,提高了监管力度,并进一步提升了系统的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本发明。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
图1是根据本发明一示例性实施例示出的一种USB设备使用记录的获取方法的流程图。
图2是根据本发明另一个示例性实施例示出的一种USB设备使用记录的获取方法的流程图。
图3是根据本发明一示例性实施例示出的一种USB设备使用记录的获取装置的框图。
图4是根据本发明一示例性实施例示出的用于获取USB设备使用记录的装置的框图。
具体实施方式
为了使得本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例的附图,对本发明实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于所描述的本发明的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是根据本发明一示例性实施例示出的一种USB设备使用记录的获取方法的流程图。如图1所示,该获取方法包括:
110:从注册表(Registry)中导出与USB设备相关的系统文件。
在本发明实施例中,使用操作系统命令从注册表中导出与USB设备相关的系统文件。
具体地,操作系统(Operating System,OS)是管理计算机硬件与软件资源的计算机程序,同时也是计算机系统的内核与基石;操作系统需要处理诸如管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作网络与管理文件系统等基本事务。在该实施例中,操作系统为Windows操作系统,其系统版本可以包括但不限于Windows 2000、Windows XP、Windows Vista、Windows Server 2003、Windows 7、Windows 8、Windows 10等。
进一步地,命令行(Command Processor,CMD)是在Windows CE与Windows NT平台为基础的操作系统下的“MS-DOS方式”。用户可以在Windows操作系统下运行DOS命令,并通过点击“开始”→“运行”→“输入cmd或cmd.exe”→“输入对应的相关实用程序”,打开系统对应的相关实用程序。
注册表(也称登录档)是Windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行,从而在整个系统中起着核心作用。进一步地,注册表由键(也称主键或项)、子键(也称子项)和值项构成。一个键就是分支中的一个文件夹,而子键就是这个文件夹当中的子文件夹,子键同样也是一个键;一个值项则是一个键的当前定义,由名称、数据类型和分配的值组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。此外,打开注册表的命令为regedit或regedit.exe、regedt32或regedt32.exe。
USB设备是USB电缆末端的一个硬件,其执行用户功能。USB设备可以分为USB总线接口、USB逻辑设备和功能设备三部分,主机到设备的连接需要经过多个层和多个实体之间的交互作用,USB总线接口层提供了在USB数据线上数据的底层传输。在该实施例中,USB设备可以包括但不限于U盘、移动硬盘、USB读卡器、手机、键盘、鼠标、音响、打印机等。
系统文件是指存放操作系统的主要文件的文件夹,一般在安装操作系统的过程中自动创建并将相关文件放在对应的文件夹中,这里面的文件直接影响系统的正常运行,大多数都不允许随意改变,其存在对维护计算机系统的稳定具有重要作用。
在该实施例中,系统文件可以包括USB键的注册表文件、USBSTOR键的注册表文件和USB存储设备的事件日志文件,其中,USB键的注册表文件由操作系统命令“reg saveHKLM\SYSTEM\CurrentControlSet\Enum\USB USB”生成,USBSTOR键的注册表文件由操作系统命令“reg save HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR USBSTOR”生成,而USB存储设备的事件日志文件由操作系统命令“wevtutil qe Microsoft-Windows-DriverFrameworks-UserMode/Operational|findstr"EventID>2004</EventID EventID>2102</EventID">>D:/usblog.txt”生成,以将USB存储设备的插拔事件的信息写入到usblog.txt文件中;这里,<EventID>标签为2004的事件为USB存储设备的连接事件,通过关联设备序列号可以获取连接时间;<EventID>标签为2102的事件为USB存储设备的断开事件,通过关联设备序列号可以获取断开时间,在Windows操作系统中,设备突然断电或者关机,USB存储设备并不会有断开日志,但可以通过设备电源日志获取断开事件。
120:对系统文件进行解析,得到USB设备的基本信息。
在本发明实施例中,在获取到从注册表中导出的系统文件之后,需要对该系统文件进行解析,以得到USB设备的基本信息。
具体地,系统文件可以包括但不限于USB键的注册表文件和USBSTOR键的注册表文件。这里,USB键和USBSTOR键均为位于注册表HKLM\SYSTEM\CurrentControlSet\Enum键下的一个子键;进一步地,USB键可以包括USB设备的设备序列号、销售商代码(VID)和产品代码(PID)等信息,USBSTOR键可以包括USB存储设备的驱动加载时间、销售商和产品名称等信息。
进一步地,对导出的系统文件进行解析,以从USB键的注册表文件中导出USB设备的基本信息。这里,基本信息可以包括USB设备的设备序列号、销售商代码和产品代码。可选地,对于USB存储设备,还可以在USBSTOR键的注册表文件中直接通过设备序列号关联查询出USB存储设备的设备名称和设备类型。
130:根据基本信息判断USB设备是否为USB存储设备。
在本发明实施例中,根据USB设备的设备序列号、销售商代码和产品代码等基本信息判断USB设备是否为USB存储设备。
具体地,可以根据USB设备的设备序列号在USB键的子键中查找到销售商代码和产品代码,并通过预设数据库或预定网络页面查询销售商代码和产品代码对应的销售商和产品名称;进一步地,根据销售商和/或产品名称可以判断USB设备为USB存储设备,还是USB非存储设备。
这里,预设数据库可以是预先存储有销售商代码与销售商的对应关系和产品代码与产品名称的对应关系的数据库,预定网络页面可以是能够通过销售商代码和产品代码查询到销售商和产品名称的网页,例如搜索网站、设备官网等。
140:根据判断结果获取USB设备的使用记录。
在本发明实施例中,在确定USB设备为USB存储设备或USB非存储设备之后,获取USB设备的使用记录。
具体地,如果USB设备为USB存储设备,则根据设备序列号,从USBSTOR键的注册表文件中获取USB存储设备的第一次插入时间,并从事件日志文件中获取USB存储设备的插拔时间;进一步地,根据第一次插入时间和插拔时间生成数据信息表,以得到USB存储设备的使用记录。
如果USB设备为USB非存储设备,则从USB键的注册表文件中获取USB非存储设备的最后一次插入时间,并根据最后一次插入时间生成数据信息表,以得到USB非存储设备的使用记录。
根据本发明实施例提供的技术方案,通过从注册表中导出与USB设备相关的系统文件;对系统文件进行解析,得到USB设备的基本信息;根据基本信息判断USB设备是否为USB存储设备;根据判断结果获取USB设备的使用记录,能够获取完整的USB设备的使用记录,因此,提高了监管力度,并进一步提升了系统的安全性。
在本发明的另一个实施例中,系统文件包括USB键的注册表文件,对系统文件进行解析,得到USB设备的基本信息,包括:从USB键的注册表文件中读取USB设备的基本信息,其中,基本信息包括USB设备的设备序列号、销售商代码和产品代码。
具体地,在Windows操作系统中,USB设备的相关信息存储在注册表的USB键“HKLM\SYSTEM\CurrentControlSet\Enum\USB”和USBSTOR键“HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR”中。这里,USB键的子键名称使用VID_v(4)&PID_d(4)格式进行描述,其中,v(4)表示4个数字的销售商代码(由USB协会分配给各个销售商);d(4)表示4个数字的产品代码(由销售商分配给其生产的产品)。需要说明的是,一些比较大的供应商的VID和PID均可以在公开信息中查询到。
进一步地,可以在USB键的子键中查找到USB设备的设备序列号,并且该设备序列号是唯一的。举例来说,假设“USB”键下存在名为“VID_0781&PID_5591”的子键,而“VID_0781&PID_5591”键下存在名为“4C531001580330112451”的子键,那么USB设备的VID为“0781”,PID为“5591”,并且USB设备的唯一的设备序列号为“4C531001580330112451”;将“0781”和“5591”与数据库或网站中的信息进行关联便可以查找到USB设备的销售商和产品名称,从而确定哪些设备可能对操作系统造成影响。
可选地,对于USB存储设备,还可以在USBSTOR键的注册表文件中直接通过设备序列号关联查询到USB存储设备的设备名称和设备类型,并在附件名称中以Disk&Ven_iManufacturer&Prod_iProduct&Rev_r(4)格式进行描述,其中,iManufacturer表示制造厂商,iProduct表示设备类型,r(4)表示修正码。
在本发明的另一个实施例中,根据基本信息判断USB设备是否为USB存储设备,包括:根据销售商代码和产品代码确定USB设备的销售商和产品名称;根据销售商和/或产品名称确定USB设备是否为USB存储设备。
具体地,可以根据USB设备的设备序列号在USB键的子键中查找到销售商代码和产品代码,并通过预设数据库或预定网络页面查询销售商代码和产品代码对应的销售商和产品名称。
在本发明的另一个实施例中,系统文件还包括USBSTOR键的注册表文件和USB存储设备的事件日志文件,根据销售商和/或产品名称确定USB设备是否为USB存储设备,包括:在预设数据库或预定网络页面中查询销售商和/或产品名称,并根据查询结果确定USB设备是否为USB存储设备。
具体地,可以通过预设数据库或预定网络页面查询销售商代码和产品代码对应的销售商和产品名称;进一步地,根据销售商和/或产品名称可以判断USB设备为USB存储设备,还是USB非存储设备。
这里,预设数据库可以是预先存储有销售商代码与销售商的对应关系和产品代码与产品名称的对应关系的数据库,预定网络页面可以是能够通过销售商代码和产品代码查询到销售商和产品名称的网页,例如搜索网站、设备官网等。
在本发明的另一个实施例中,根据判断结果获取USB设备的使用记录,包括:如果USB设备为USB存储设备,则根据设备序列号,从USBSTOR键的注册表文件中获取USB设备的第一次插入时间,以及从事件日志文件中获取USB设备的插拔时间;根据第一次插入时间和插拔时间生成数据信息表,以得到USB设备的使用记录。
具体地,如果确定USB设备为USB存储设备,则根据USB设备的设备序列号,从USBSTOR键的注册表文件中导出USB存储设备的第一次插入时间(即,USB存储设备的第一次连接时间),并从事件日志文件中获取USB存储设备的历史插拔时间(即,USB存储设备的历史连接时间)。
需要说明的是,USB存储设备的第一次插入时间是通过注册表中记录的驱动加载时间获取的,也就是说,USB存储设备的第一次插入的时间即为第一次驱动加载时间。
此外,USB存储设备的历史连接时间可以通过解析USB键下以设备序列号命名的子键的写入时间来获得。USB存储设备还可以获取到第一次连接时间记录,由“HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR”键下的Device Parameters\Partmgr子键的写入时间查询出USB存储设备的第一次连接时间。
进一步地,根据第一次插入时间和插拔时间生成数据信息表,以得到USB存储设备的使用记录。这里,数据信息表可以包括但不限于USB存储设备的设备序列号、销售商、产品名称、第一次插入时间和插拔时间。
在本发明的另一个实施例中,根据判断结果获取USB设备的使用记录,包括:如果USB设备为USB非存储设备,则从USB键的注册表文件中获取USB设备的最后一次插入时间;根据最后一次插入时间生成数据信息表,以得到USB存储设备的使用记录。
具体地,如果确定USB设备为USB非存储设备,则从USB键的注册表文件中获取USB非存储设备的最后一次插入时间;进一步地,根据最后一次插入时间生成数据信息表,以得到USB非存储设备的使用记录。这里,数据信息表可以包括但不限于USB非存储设备的设备序列号、销售商、产品名称、最后一次插入时间和插拔时间。
由于USB设备每次接入都会在注册表中重新写入,因此,注册表中与USB设备相关的键的写入时间即为USB设备的连接时间。
在本发明的另一个实施例中,在得到USB存储设备的使用记录之后,该获取方法还包括:周期性地更新数据信息表,以获取USB存储设备的历史使用记录。
具体地,在获取到USB存储设备的使用记录之后,周期性地采集USB存储设备的第一次插入时间和插拔时间、USB设备的最后一次插入时间,并对数据信息表进行更新,以获取完整的USB存储设备的历史使用记录。
根据本发明实施例提供的技术方案,通过周期性地记录USB设备的插入时间,并与系统日志进行关联,得到所有USB设备的连接时间,能够保证Windows系统审计信息的完整性。
在本发明的另一个实施例中,在从注册表中导出与USB设备相关的系统文件之前,该获取方法还包括:使用具有注册表的导出权限的账户登录或远程登录操作系统。
具体地,在从注册表中导出与USB设备相关的系统文件之前,使用具有注册表的读取(查看)和导出权限的账户直接登录到操作系统,或者通过诸如远程显示协议(RemoteDisplay Protocol,RDP)、远程终端协议(Telnet)等远程登录到操作系统,本发明对此不作限制。
需要说明的是,在获取到USB键的注册表文件、USBSTR键的注册表文件和usblog.txt文件之后,将上述三个文件回传到远程服务器,并删除目标设备上导出的文件。
根据本发明实施例提供的技术方案,通过远程方式采集操作系统的信息,而无需在目标系统中植入程序,因此,能够节省操作系统的空间资源;进一步地,通过授权管理员账户远程完成分析操作,而不占用目标操作系统的资源,因此,能够避免对操作系统产生安全的影响。
需要说明的是,图1的方法可以由装有操作系统的设备(例如,装有WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似的个人计算机或服务器或类似)执行,该设备能够执行编程语言编写的程序,并且能够通过诸如RDP、Telnet等远程协议与被检查设备建立远程连接以执行命令。上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
图2是根据本发明另一个示例性实施例示出的一种USB设备使用记录的获取方法的流程图。如图2所示,该获取方法包括:
202:使用具有注册表的导出权限的账户登录或远程登录操作系统;
204:从注册表中导出与USB设备相关的系统文件,该系统文件包括USB键的注册表文件、USBSTOR键的注册表文件和USB存储设备的事件日志文件;
206:从USB键的注册表文件中读取USB设备的基本信息,该基本信息包括USB设备的设备序列号、销售商代码和产品代码;
208:根据销售商代码和产品代码确定USB设备的销售商和产品名称;
210:在预设数据库或预定网络页面中查询销售商和/或产品名称;
212:判断USB设备是否为USB存储设备;
214:如果USB设备为USB存储设备,则根据设备序列号,从USBSTOR键的注册表文件中获取USB设备的第一次插入时间,以及从事件日志文件中获取USB设备的插拔时间;
216:根据第一次插入时间和插拔时间生成数据信息表,以得到USB设备的使用记录;
218:如果USB设备为USB非存储设备,则从USB键的注册表文件中获取USB设备的最后一次插入时间;
220:根据最后一次插入时间生成数据信息表,以得到USB存储设备的使用记录;
222:周期性地更新数据信息表,以获取USB存储设备的历史使用记录。
根据本发明实施例提供的技术方案,通过获取USB键和USBSTOR键的注册表文件,并生成完整的所有USB设备的使用记录,能够保证Windows系统审计信息的完整性;进一步地,通过从USB键的注册表文件中读取销售商代码和产品代码,并查找销售商代码和产品代码对应的销售商和产品名称,能够快速和准确地对安全问题进行定位,并确保了系统的安全性;更进一步地,通过周期性地记录USB的插入时间,并与系统日记进行关联,得到所有USB设备的连接时间,能够保证Windows系统审计信息的完整性。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
图3是根据本发明一示例性实施例示出的一种USB设备使用记录的获取装置的框图。如图3所示,该获取装置包括:
导出模块310,配置为从注册表中导出与USB设备相关的系统文件;
解析模块320,配置为对系统文件进行解析,得到USB设备的基本信息;
判断模块330,配置为根据基本信息判断USB设备是否为USB存储设备;
获取模块340,配置为根据判断结果获取USB设备的使用记录。
根据本发明实施例提供的技术方案,通过从注册表中导出与USB设备相关的系统文件;对系统文件进行解析,得到USB设备的基本信息;根据基本信息判断USB设备是否为USB存储设备;根据判断结果获取USB设备的使用记录,能够获取完整的USB设备的使用记录,因此,提高了监管力度,并进一步提升了系统的安全性。
在本发明的另一个实施例中,系统文件包括USB键的注册表文件,图3的解析模块320从USB键的注册表文件中读取USB设备的基本信息,其中,基本信息包括USB设备的设备序列号、销售商代码和产品代码。
在本发明的另一个实施例中,图3的判断模块330根据销售商代码和产品代码确定USB设备的销售商和产品名称;根据销售商和/或产品名称确定USB设备是否为USB存储设备。
在本发明的另一个实施例中,系统文件还包括USBSTOR键的注册表文件和USB存储设备的事件日志文件,图3的判断模块330在预设数据库或预定网络页面中查询销售商和/或产品名称,并根据查询结果确定USB设备是否为USB存储设备。
在本发明的另一个实施例中,如果USB设备为USB存储设备,则图3的判断模块330根据设备序列号,从USBSTOR键的注册表文件中获取USB设备的第一次插入时间,以及从事件日志文件中获取USB设备的插拔时间,并根据第一次插入时间和插拔时间生成数据信息表,以得到USB设备的使用记录。
在本发明的另一个实施例中,如果USB设备为USB非存储设备,则图3的判断模块330从USB键的注册表文件中获取USB设备的最后一次插入时间,并根据最后一次插入时间生成数据信息表,以得到USB存储设备的使用记录。
在本发明的另一个实施例中,图3的获取装置还包括:更新模块350,配置为周期性地更新数据信息表,以获取USB存储设备的历史使用记录。
在本发明的另一个实施例中,图3的获取装置还包括:登录模块360,配置为使用具有注册表的导出权限的账户登录或远程登录操作系统。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
图4是根据本发明一示例性实施例示出的用于获取USB设备使用记录的装置的框图。
参照图4,装置400包括处理组件410,其进一步包括一个或多个处理器,以及由存储器420所代表的存储器资源,用于存储可由处理组件410的执行的指令,例如应用程序。存储器420中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件410被配置为执行指令,以执行上述USB设备使用记录的获取方法。
装置400还可以包括一个电源组件被配置为执行装置400的电源管理,一个有线或无线网络接口被配置为将装置400连接到网络,和一个输入输出(I/O)接口。装置400可以操作基于存储在存储器420的操作系统,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM或类似。
一种非临时性可读存储介质,当存储介质中的指令由上述装置400的处理器执行时,使得上述装置400能够执行一种USB设备使用记录的获取方法,包括:从注册表中导出与USB设备相关的系统文件;对系统文件进行解析,得到USB设备的基本信息;根据基本信息判断USB设备是否为USB存储设备;根据判断结果获取USB设备的使用记录。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或者不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性、机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序校验码的介质。
此外,尽管已经在本文中描述了示例性实施例,其范围包括任何和所有基于本发明的具有等同元件、修改、省略、组合(例如,各种实施例交叉的方案)、改编或改变的实施例。权利要求书中的元件将被基于权利要求中采用的语言宽泛地解释,并不限于在本说明书中或本申请的实施期间所描述的示例,其示例将被解释为非排他性的。因此,本说明书和示例旨在仅被认为是示例,真正的范围和精神由以下权利要求以及其等同物的全部范围所指示。
以上描述旨在是说明性的而不是限制性的。例如,上述示例(或其一个或更多方案)可以彼此组合使用。例如本领域普通技术人员在阅读上述描述时可以使用其它实施例。另外,在上述具体实施方式中,各种特征可以被分组在一起以简单化本发明。这不应解释为一种不要求保护的公开的特征对于任一权利要求是必要的意图。相反,本发明的主题可以少于特定的公开的实施例的全部特征。从而,以下权利要求书作为示例或实施例在此并入具体实施方式中,其中每个权利要求独立地作为单独的实施例,并且考虑这些实施例可以以各种组合或排列彼此组合。本发明的范围应参照所附权利要求以及这些权利要求赋权的等同形式的全部范围来确定。
以上对本发明多个实施例进行了详细说明,但本发明不限于这些具体的实施例,本领域技术人员在本发明构思的基础上,能够做出多种变型和修改实施例,这些变型和修改都应落入本发明所要求保护的范围之内。
Claims (7)
1.一种USB设备使用记录的获取方法,其特征在于,包括:
从注册表中导出与所述USB设备相关的系统文件;
对所述系统文件进行解析,得到所述USB设备的基本信息;
根据所述基本信息判断所述USB设备是否为USB存储设备;
根据判断结果获取所述USB设备的使用记录;
所述系统文件包括USBSTOR键的注册表文件和所述USB存储设备的事件日志文件;
所述根据判断结果获取所述USB设备的使用记录,包括:
如果所述USB设备为所述USB存储设备,则根据所述基本信息中的设备序列号,从所述USBSTOR键的注册表文件中获取所述USB设备的第一次插入时间,以及从所述事件日志文件中获取所述USB设备的插拔时间;根据所述第一次插入时间和所述插拔时间生成数据信息表,以得到所述USB设备的使用记录;
如果所述USB设备为USB非存储设备,则从所述USB键的注册表文件中获取所述USB设备的最后一次插入时间;根据所述最后一次插入时间生成数据信息表,以得到所述USB设备的使用记录;
根据销售商和/或产品名称确定所述USB设备是否为USB存储设备,包括:
在预设数据库或预定网络页面中查询所述销售商和/或所述产品名称,并根据查询结果确定所述USB设备是否为USB存储设备。
2.根据权利要求1所述的获取方法,其特征在于,所述系统文件包括USB键的注册表文件,所述对所述系统文件进行解析,得到所述USB设备的基本信息,包括:
从所述USB键的注册表文件中读取所述USB设备的基本信息,其中,所述基本信息包括所述USB设备的设备序列号、销售商代码和产品代码。
3.根据权利要求2所述的获取方法,其特征在于,所述根据所述基本信息判断所述USB设备是否为USB存储设备,包括:
根据所述销售商代码和所述产品代码确定所述USB设备的销售商和产品名称;
根据所述销售商和/或所述产品名称确定所述USB设备是否为USB存储设备。
4.根据权利要求1所述的获取方法,其特征在于,在所述得到所述USB存储设备的使用记录之后,所述获取方法还包括:
周期性地更新所述数据信息表,以获取所述USB存储设备的历史使用记录。
5.根据权利要求1至3中的任一项所述的获取方法,其特征在于,在所述从注册表中导出与所述USB设备相关的系统文件之前,所述获取方法还包括:
使用具有所述注册表的导出权限的账户登录或远程登录操作系统。
6.一种USB设备使用记录的获取装置,其特征在于,包括:
导出模块,配置为从注册表中导出与所述USB设备相关的系统文件;
解析模块,配置为对所述系统文件进行解析,得到所述USB设备的基本信息;
判断模块,配置为根据所述基本信息判断所述USB设备是否为USB存储设备;
获取模块,配置为根据判断结果获取所述USB设备的使用记录;
所述系统文件包括USBSTOR键的注册表文件和所述USB存储设备的事件日志文件;
所述获取模块具体配置为:
如果所述USB设备为所述USB存储设备,则根据所述基本信息中的设备序列号,从所述USBSTOR键的注册表文件中获取所述USB设备的第一次插入时间,以及从所述事件日志文件中获取所述USB设备的插拔时间;根据所述第一次插入时间和所述插拔时间生成数据信息表,以得到所述USB设备的使用记录;
如果所述USB设备为USB非存储设备,则从所述USB键的注册表文件中获取所述USB设备的最后一次插入时间;根据所述最后一次插入时间生成数据信息表,以得到所述USB设备的使用记录;
根据销售商和/或产品名称确定所述USB设备是否为USB存储设备,包括:
在预设数据库或预定网络页面中查询所述销售商和/或所述产品名称,并根据查询结果确定所述USB设备是否为USB存储设备。
7.一种存储介质,其上存储有可执行指令,其特征在于,所述可执行指令被处理器执行时实现如权利要求1至5中的任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910054037.5A CN109784103B (zh) | 2019-01-21 | 2019-01-21 | 一种usb设备使用记录的获取方法和装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910054037.5A CN109784103B (zh) | 2019-01-21 | 2019-01-21 | 一种usb设备使用记录的获取方法和装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109784103A CN109784103A (zh) | 2019-05-21 |
| CN109784103B true CN109784103B (zh) | 2021-06-08 |
Family
ID=66501764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910054037.5A Active CN109784103B (zh) | 2019-01-21 | 2019-01-21 | 一种usb设备使用记录的获取方法和装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109784103B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110471801A (zh) * | 2019-06-20 | 2019-11-19 | 深圳市德名利电子有限公司 | 一种存储设备的量产过程信息的管理方法和装置以及设备 |
| CN110598428B (zh) * | 2019-08-22 | 2021-08-06 | 中国电子科技集团公司第二十八研究所 | 一种基于Linux用户空间的USB设备管控系统 |
| CN115935321B (zh) * | 2022-12-29 | 2024-04-19 | 长春吉大正元信息技术股份有限公司 | 算法库的访问方法、装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7702984B1 (en) * | 2000-01-06 | 2010-04-20 | Super Talent Electronics, Inc. | High volume testing for USB electronic data flash cards |
| CN101833621A (zh) * | 2010-04-27 | 2010-09-15 | 广州广电运通金融电子股份有限公司 | 终端安全审计方法及系统 |
| CN102999566A (zh) * | 2012-11-06 | 2013-03-27 | 北京奇虎科技有限公司 | 清除设备使用痕迹的方法和装置 |
| CN105022677A (zh) * | 2014-04-24 | 2015-11-04 | 中国信息安全测评中心 | 一种usb设备使用记录恢复检查方法 |
-
2019
- 2019-01-21 CN CN201910054037.5A patent/CN109784103B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7702984B1 (en) * | 2000-01-06 | 2010-04-20 | Super Talent Electronics, Inc. | High volume testing for USB electronic data flash cards |
| CN101833621A (zh) * | 2010-04-27 | 2010-09-15 | 广州广电运通金融电子股份有限公司 | 终端安全审计方法及系统 |
| CN102999566A (zh) * | 2012-11-06 | 2013-03-27 | 北京奇虎科技有限公司 | 清除设备使用痕迹的方法和装置 |
| CN105022677A (zh) * | 2014-04-24 | 2015-11-04 | 中国信息安全测评中心 | 一种usb设备使用记录恢复检查方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109784103A (zh) | 2019-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1672509B1 (en) | Portable applications | |
| CN109784103B (zh) | 一种usb设备使用记录的获取方法和装置及存储介质 | |
| CN108376100A (zh) | 基于安全的容器调度 | |
| CN111695156A (zh) | 业务平台的访问方法、装置、设备及存储介质 | |
| CN103744695A (zh) | 基于pxe的操作系统远程安装方法和系统 | |
| CN110135130B (zh) | 一种嵌入式设备软件防改装方法及系统 | |
| US8856740B2 (en) | Implementing multiple versions of a plug-in concurrently | |
| CN112579202B (zh) | Windows系统的服务性程序编辑方法、装置、设备及存储介质 | |
| CN102306117A (zh) | 一种硬件检测自动报警的方法及装置 | |
| US11461218B1 (en) | Analyzing user API usage from recorded API macros for software product improvement | |
| US8966238B2 (en) | Personalization of shared electronic devices | |
| US8214825B2 (en) | Electronic device and method for installing software | |
| DE102021127242A1 (de) | System und Verfahren zum Signieren und Verriegeln einer Boot-Informationsdatei für ein Host-Computersystem | |
| US20220179806A1 (en) | Computer system configurations based on accessing data elements presented by baseboard management controllers | |
| CN111683091A (zh) | 一种访问云主机控制台方法、装置、设备及存储介质 | |
| US11340968B1 (en) | Executing repetitive custom workflows through API recording and playback | |
| CN115269021A (zh) | 一种网卡的操作处理方法、装置及介质 | |
| CN114861160A (zh) | 提升非管理员账户权限的方法及装置、设备、存储介质 | |
| CN112732562A (zh) | 一种计算机的测试方法、系统及相关装置 | |
| Varsalone | Mac OS X, iPod, and iPhone forensic analysis DVD toolkit | |
| CN113806821B (zh) | 一种便携式电子取证数据的管理方法及装置 | |
| WO2024084828A1 (ja) | データ管理装置及びデータ管理方法 | |
| CN113973055B (zh) | 一种基于本地u盘的网络设备配置方法和系统 | |
| US20240184910A1 (en) | Data management device, data sharing system and method, and non-transitory computer readable medium | |
| CN108345789B (zh) | 记录访存操作信息的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |