【跟蹤USB使用痕跡】

來源：取證雜談

做者：胡壯

 Microsoft -Windows -Partition/ Diagnostic是Windows10新引入的事件日誌之一，具體位置通常爲「C：\Windows\ System32\ winevt\ Logs\ Microsoft - Windows - Partition\ %4 Diagnostic.evtx」。Matt Graeber在2017年10月指出了此事件日誌中包含的一些數據［注1］，Harlan隨後進一步作了跟進［注2］，可是並無太多新的信息，特別是如何在USB設備取證調查中使用這一事件日誌。

背景

    Windows10引入的Partition/ Diagnostic事件日誌，會在USB設備鏈接或斷開鏈接的時候建立一個ID爲1006的事件記錄。當使用Windows事件查看器查看時，默認的「常規」視圖並無實際的幫助，可是「詳細信息」視圖包含不少與鏈接設備相關的信息。遺憾的是，這個事件日誌文件會在Windows重要更新中被清除掉，因此若是最近有大版本更新，則可能該日誌文件中沒有記錄。然而，現存的記錄能夠提供關於特定設備的大量信息，包括設備標識符、鏈接時間、斷開鏈接時間、設備卷引導記錄（VBR）、設備主引導記錄（MBR）等。

圖 1 ID爲1006的事件中包含的設備信息

設備卷引導記錄

    Partition/ Diagnostic事件日誌中ID爲1006的記錄中有一區域記錄有鏈接系統的設備的卷引導記錄（VBR），此設備包括該設備的整個VBR的十六進制內容。這在USB取證中很重要，由於VBR包含不少信息，例如卷序列號。另外，若是設備文件系統爲FAT，則VBR中還包含卷標信息。

    正如你們所知道的，LNK文件和跳轉列表（Jump List）中都包含有卷序列號（VSN），而VSN能夠反映一個特定的設備，因此很是關鍵。註冊表Hive SOFTWARE的EMDMgmt子鍵可能包含鏈接設備的VSN，但這個子健在有些狀況下並未生成，例如當Windows檢測到接入的是一個固態硬盤。因爲SSD的普及，EMDMgmt子健的用處正在降低。好消息是，儘管EMDMgmt子鍵愈來愈少見，但咱們依然能夠從Partition/Diagnostic 事件日誌中獲取到卷序列號。

圖 2 ID爲1006的事件中的卷序列號

經過將VBR0字段(見圖2所示)的值保存到一個新文件中，咱們能夠使用任何可以解析原始VBR的十六進制編輯器或工具來從VBR中獲取VSN、卷標及其餘有用信息。另外一個選擇是直接使用USB設備取證工具來處理全部這些信息的提取及解析。

    在Partition/ Diagnostic事件日誌中發現的信息自己是有用的，可是當與其餘與USB相關的數據(如其餘事件日誌、註冊表組和setupapi日誌)相關聯時，它會變得更增強大。除了設備卷引導記錄以外，還有其餘一些有用的信息能夠從Partition/ Diagnostic 事件日誌中獲取。

注1: 

https://twitter.com/mattifestation/status/916338889840721920

注2:

 http://windowsir.blogspot.com/2017/10/stuff.html

說明

本文翻譯自Digital Forensics Stream博客，做者JASON HALE，原題爲「USB Device Tracking using the Partition/ Diagnostic Event Log」，略有刪改，原文地址https://df-stream.com/2018/05/partition-diagnostic-event-log-and-usb-device-tracking-p1/

截至2018年5月，市面上絕大多數取證設備仍不支持解析本文提到的USB痕跡。另外一方面，USB使用痕跡遍及註冊表、系統日誌、事件日誌，從XP到Vista到7，到8，再到10，每次Windows的大版本升級，都引入了新的位置保存，更多的USB取證知識，還須要取證調查人員不斷學習，使用不一樣的工具對比。