怎么通过系统日志查看u盘的拔出时间

通过系统日志查看u盘的拔出时间的方法：首先打开控制面板并找到计算机管理，往系统里面添加环境变量【devmgr_shownonpresent_devices】，值为1；然后打开计算机管理，把可移动存储相关的删除；最后查看u盘的拔出时间。

1.打开控制面板->管理工具->计算机管理，

2.往系统里面添加环境变量devmgr_shownonpresent_devices，值为1。

3.运行设备管理器，打开查看隐藏设备。展开磁盘驱动器、储存卷两处，把和U盘有关的Kill掉。

4.打开计算机管理，把可移动存储相关的删除。

5.把1中加入的系统环境变量删除。

6.到此为止，现在有可能还不能全部删除注册表中的usb使用记录，在HKEY_LOCAL_MACHINE\

SYSTEM\ControlSet002\Enum\USBSTOR中仍然可能会有使用记录，然后打开强大的regedt3。

7.工具，找到该项，修改权限，然后删除子项。另外。HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB中的一些和USB Storage Mass设备相关的也要删除。

8.清除注册表的U盘使用记录，

1、按开始--〉运行，在输入框里输入命令：regedit，

2、删除注册表中以下目录的USBSTOR子项。

（1）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR
（2）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR
（3）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\USBSTOR
（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

9.删除上述USBSTOR子项后，一般保密检查软件就不能检查了。

10.如果需要彻底清除USB使用记录，完成上述操作后，可以接着如下的操作过程：

1、删除如下USB子项下除ROOT_HUB、ROOT_HUB20外的所有记录。

（1）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB
（2）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB
（3）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\USB
（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB

11.权限操作与上述操作一致。

2、删除DeviceClasses下的a5d...、53f...等含usb字眼的部分子项。

（1）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
（2）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
（3）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
（4）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}\##?#USBSTOR#Disk&Ven_Alcor&Prod_Flash_Disk&Rev_8.07#2624BFBB&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

其他操作与上一个步骤相同。

以上是怎么通过系统日志查看u盘的拔出时间的详细内容。更多信息请关注PHP中文网其他相关文章！