透過系統日誌查看u碟的拔出時間的方法:先開啟控制台並找到電腦管理,往系統裡面加入環境變數【devmgr_shownonpresent_devices】,值為1;然後開啟電腦管理,把可移動儲存相關的刪除;最後查看u盤的拔出時間。
1.開啟控制面板->管理工具->電腦管理,
2.在系統裡面新增環境變數devmgr_shownonpresent_devices,值為1。
3.執行裝置管理員,開啟查看隱藏裝置。展開磁碟機、儲存磁碟區兩處,把和U盤有關的Kill掉。
4.開啟電腦管理,把可移動儲存相關的刪除。
5.刪除1中加入的系統環境變數。
6.到此為止,現在有可能還不能全部刪除註冊表中的usb使用記錄,在HKEY_LOCAL_MACHINE\
SYSTEM\ControlSet002\Enum \USBSTOR中仍可能會有使用記錄,然後開啟強大的regedt3。
7.工具,找到該項,修改權限,然後刪除子項。另外。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB中的某些和USB Storage Mass裝置相關的也要刪除。
8.清除登錄機碼的USB使用記錄,
1、按開始--〉運行,在輸入框裡輸入指令:regedit,
2、刪除註冊表中以下目錄的USBSTOR子項目。
(1)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR (2)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR (3)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\USBSTOR (4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
9.刪除上述USBSTOR子項後,一般保密檢查軟體就不能檢查了。
10.如果需要徹底清除USB使用記錄,完成上述操作後,可以接著如下的操作流程:
1、刪除如下USB子項下除ROOT_HUB、ROOT_HUB20外的所有記錄。
(1)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB (2)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB (3)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\USB (4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
11.權限操作與上述操作一致。
2、刪除DeviceClasses下的a5d...、53f...等含usb字眼的部分子項。
(1)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
(2)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
(3)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
(4)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}\##?#USBSTOR#Disk&Ven_Alcor&Prod_Flash_Disk&Rev_8.07#2624BFBB&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}其他操作與上一個步驟相同。
以上是怎麼透過系統日誌查看u盤的拔出時間的詳細內容。更多資訊請關注PHP中文網其他相關文章!
