Не секрет, что внешние накопители — от обычных USB-флешек до ёмких жёстких дисков и смартфонов — нередко становятся каналом утечек данных и распространения шифровальщиков. Специалистам по цифровой криминалистике часто нужно восстановить точную хронологию: когда USB-устройство подключили, какие действия выполняли и когда его отключили. И в поиске первоисточника заражения сети, и при расследовании кражи данных уволенным сотрудником ответы нередко лежат в истории использования внешних носителей.

Главная ценность таких артефактов — в том, что они помогают связать конкретное USB-устройство с действиями по доступу к файлам. Недостаточно знать, что внешний диск или смартфон подключали к компьютеру. Гораздо важнее понять, какие файлы пользователь открывал или копировал, пока устройство было активно. Для этого нужно понимать, как Windows на системном уровне обрабатывает разные классы устройств и какие записи делает для каждого из них.

Классификация подключаемых накопителей

Чтобы корректно интерпретировать данные, извлечённые из образа диска или работающей системы, сначала важно понять, как Windows классифицирует устройства в момент подключения. Реакция системы напрямую зависит от класса оборудования.

• Устройства класса Mass Storage (MSC): К ним относятся стандартные USB-флешки, внешние SSD и жёсткие диски. Они используют службу USBSTOR, и Windows воспринимает их как блочные накопители. Поскольку ОС получает прямой доступ к блокам памяти, носитель можно форматировать в привычные файловые системы (NTFS, exFAT, FAT32). Обычно Windows назначает таким устройствам букву диска (например, D: или E:) и создаёт стандартный серийный номер тома (Volume Serial Number, VSN).
• Устройства MTP и PTP: Смартфоны, цифровые камеры и планшеты — заметный и нередко недооценённый канал утечки данных. Они подключаются по протоколам Media Transfer Protocol (MTP) или Picture Transfer Protocol (PTP). В отличие от USB-накопителей, эти устройства не дают Windows прямого доступа к физической памяти: файловые запросы обрабатывает операционная система самого устройства. Поэтому привычные следы вроде букв дисков и стандартных VSN часто отсутствуют. В таких случаях специалисту приходится опираться на альтернативные источники, которые сохраняют метаданные портативных устройств.

Где искать следы

События подключения и отключения оборудования в Windows 10 и 11 регистрируются подробно, но фрагментарно. Чтобы выстроить надёжную хронологию, данные обычно собирают из подсистемы Plug and Play (PnP), реестра Windows, каналов Event Tracing for Windows (ETW) и следов в файловой системе. Когда эти фрагменты сведены вместе, получается достаточно ясная картина действий пользователя.

Реестр Windows: идентификация оборудования

Реестр Windows — один из самых информативных источников о системной активности и поведении пользователя. При разборе инцидентов с USB обычно начинают с ветви (hive) SYSTEM. Прежде чем анализировать извлечённый улей, проверьте ключи SYSTEM\Select\Current (и при необходимости LastKnownGood). Это помогает убедиться, что вы смотрите именно на активный набор параметров, который использовался при последней загрузке системы. Подробнее о том, что можно найти в реестре — в статье Криминалистический анализ реестра Windows.

Типы устройств

Реестр отделяет общие USB-подключения от подключений накопителей. Понимание того, где искать нужные ключи, экономит время и помогает отсечь лишние записи от мышей, клавиатур и прочей периферии.

• • Общая информация: В разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB хранится список всех USB-устройств, которые когда-либо подключались к системе. Сюда попадают веб-камеры, Bluetooth-адаптеры и накопители. Подразделы обычно именуются по идентификатору поставщика (VID) и идентификатору продукта (PID).
  • Идентификация накопителей: Данные о носителях информации- в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR. Это основной список внешних накопителей, распознанных системой. Под именем продукта обычно находится подраздел с серийным номером устройства — он позволяет связать артефакты с конкретным физическим носителем. Важный нюанс: если вторым символом в серийном номере идёт амперсанд (&), это чаще всего означает, что устройство не передало свой аппаратный серийный номер. В таких случаях Windows формирует собственный идентификатор (часто завязанный на порт); тогда однозначно привязать активность к физическому устройству становится сложнее, особенно если его подключали к разным портам или к разным компьютерам.
    Почему так происходит? Когда накопитель не передаёт свой серийный номер, Windows вынуждена генерировать собственный идентификатор экземпляра устройства (Device Instance ID), привязывая его к конкретному физическому USB-порту или концентратору. На практике это означает неприятную для расследования вещь: если подключить тот же самый накопитель в соседний разъём на том же самом компьютере, система создаст для него абсолютно новый идентификатор. Это важно учитывать, чтобы не принять один и тот же накопитель за разные устройства.
  • Отслеживание смарт-устройств: Смартфоны, подключаемые по MTP, не отображаются в разделе USBSTOR, поэтому их легко пропустить. В теории история подключений, понятные имена и идентификаторы контейнеров устройств (Device Container IDs) должны сохраняться в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM.
    Примечание: На деле нет гарантий, что информация попадёт именно в WPDBUSENUM. Зачастую данные о подключённом смартфоне оседают в общей ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB. Чтобы найти такие устройства, нужно обращать внимание на два параметра: у Capabilities будет установлен флаг съёмного устройства (второй бит, как в случае с внешними дисками), а параметр Service примет значение WUDFWpdMtp. Поэтому при поиске следов мобильных устройств обязательно проверяйте общую ветку ...\Enum\USB, фильтруя результаты по значениям этих двух параметров.

Временные метки и их расшифровка (devpkey.h)

После того как мы выяснили, какое устройство подключалось, важно понять, когда именно это происходило. При анализе реестра возникает так называемый «парадокс временных меток»: у каждого ключа есть время последнего изменения (LastWrite), но у отдельных значений внутри ключа собственных меток нет. Если ключ обновлялся несколько раз, LastWrite показывает лишь факт изменения ключа в целом и не говорит, какое именно значение стало причиной обновления.

Чтобы обойти это ограничение, Windows 10 и 11 сохраняют индивидуальные временные метки для каждого устройства в свойствах экземпляра по пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\VID_...&PID_......\Properties{83da6326-97a6-4088-9453-a1923f573b29}...

Эти свойства можно сопоставить с определениями в системном файле devpkey.h от Microsoft:

• 0x64 (InstallDate): Время последней успешной установки драйвера устройства; меняется при обновлении драйвера.
• 0x65 (FirstInstallDate): Время самой первой настройки устройства. Это значение часто остаётся неизменным даже при последующих обновлениях драйверов.
• 0x66 (LastArrivalDate): Время последнего физического подключения и распознавания устройства системой.
• 0x67 (LastRemovalDate): Время последнего отключения или извлечения устройства.

Все значения хранятся в UTC, поэтому их нужно перевести в локальный часовой пояс компьютера (с учётом летнего времени, если применимо). Сравнив LastArrivalDate и LastRemovalDate, можно оценить, как долго устройство оставалось подключённым в последнюю сессию.

Анализ журналов событий Windows (Event Logs)

Если реестр даёт общий контур, то журналы событий Windows позволяют детализировать хронологию. Windows использует ETW и пишет события в файлы .evtx, фиксируя работу с оборудованием почти в реальном времени. Подробнее о том, что можно обнаружить в журналах событий — в статье Криминалистический анализ журнала событий Windows Event Log.

Журналы драйверов и накопителей

При анализе USB-активности полезны несколько каналов:

• DriverFrameworks-UserMode: Журнал Microsoft-Windows-DriverFrameworks-UserMode/Operational детально отражает работу драйверов пользовательского режима во время установки и настройки устройства. События 10000, 10001 и 10002 указывают на инициализацию драйвера при подключении. При отключении обычно встречаются события 2100 и 2102.
• Storage-ClassPnP: Когда устройство начинает работать, журнал Microsoft-Windows-Storage-ClassPnP/Operational фиксирует активность тома хранения. Событие 507 часто содержит идентификационные строки (производитель/продукт) и заявленный серийный номер — удобный способ перепроверить данные из реестра.
• Журналы портативных устройств (MTP): Для телефонов и камер события ищите в Microsoft-Windows-WPD-MTPClassDriver/Operational и Microsoft-Windows-DeviceSetupManager/Admin.
• Дополнительные источники: Обратите внимание на SetupAPI.dev.log — он даёт понятную хронологию установки драйверов. Также нередко проверяют ключ MountPoints2 (в кусте пользователя): он помогает понять, с какими томами взаимодействовала конкретная учётная запись.

Поиск серийного номера тома (VSN)

Если нужно подтвердить, что файлы действительно копировали или открывали с конкретного носителя, важно связать физическое устройство с логической файловой системой. Опираться только на буквы дисков рискованно из-за «проблемы букв»: Windows может переназначать их. Пользователь подключил флешку как E:, извлёк её, затем подключил другой накопитель — и тот тоже может получить букву E:.

Более устойчивый признак — серийный номер тома (VSN). Это шестнадцатеричное значение, которое формируется при форматировании тома. Поскольку один и тот же физический носитель можно переформатировать (и VSN изменится), этот номер идентифицирует логический экземпляр тома, а не саму «железку».

Windows 10 и 11 часто записывают диагностику монтирования в канал событий разделов: Microsoft-Windows-Partition/Diagnostic (сохраняется как Microsoft-Windows-Partition%4Diagnostic.evtx). Обратите внимание: этот журнал может быть очищен после крупных обновлений Windows. При монтировании тома событие 1006 содержит снимок загрузочной записи (VBR). Из него можно извлечь VSN; смещение зависит от файловой системы:

• NTFS: VSN находится по смещению 0x48 (4 байта, порядок little-endian).
• FAT32: VSN находится по смещению 0x43 (4 байта, порядок little-endian).
• exFAT: VSN находится по смещению 0x64 (4 байта, порядок little-endian).

MTP и PTP: смартфон в роли накопителя

Смартфоны и планшеты, подключаемые через MTP или PTP, часто используют вместо традиционных флешек — в том числе для переноса данных. Поскольку такие устройства не дают прямого доступа к памяти, стандартные артефакты (буквы дисков и VSN) при MTP-подключениях нередко отсутствуют.

Тем не менее хронологию подключений обычно восстановить можно. Вместо USBSTOR исторические записи по таким устройствам находятся в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM. Кроме того, журнал Microsoft-Windows-WPD-MTPClassDriver/Operational.evtx фиксирует успешную инициализацию соединения и часто содержит модель устройства. Обратите внимание: действия конкретного пользователя чаще всего попадают в куст реестра NTUSER.DAT, в ключи Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers и Explorer\Portable Devices.

Для анализа действий пользователя полезны ключи ShellBags. Поскольку MTP-устройства не получают буквы дисков, ShellBags ссылаются на специфические пути реестра или GUID, что помогает отслеживать навигацию по памяти мобильного устройства в графическом интерфейсе. При этом подтвердить передачу конкретного файла средствами одной лишь Windows здесь обычно сложно — для уверенных выводов часто требуется изъятие и криминалистический анализ самого устройства.

Следы в файловой системе: подтверждение действий пользователя

Ключи реестра и журналы событий помогают установить факт подключения устройства. Но чтобы подтвердить, что пользователь открывал файлы, копировал данные или запускал вредоносную программу, нужно обратиться к артефактам файловой системы.

Файлы LNK и списки переходов (Jump Lists)

Чтобы связать конкретный файл с определённым USB-носителем и не зависеть от меняющихся букв дисков, специалисты часто используют файлы LNK и списки переходов.

• Файлы LNK (ярлыки Windows): Windows создаёт ярлыки, когда пользователи открывают документы через «Проводник». LNK-файлы фиксируют целевой путь, временные метки и — что особенно важно для USB-анализа — серийный номер тома (VSN), на котором находился файл.
• Списки переходов (Jump Lists): Это списки недавних элементов, которые появляются при клике правой кнопкой мыши по значку приложения на панели задач. Обычно они хранятся как файлы AutomaticDestinations-ms в подпапках %APPDATA%\Microsoft\Windows\Recent\. Отдельные записи внутри этих списков структурно похожи на данные LNK и содержат те же ключевые поля, включая полные пути и VSN.

Извлекая VSN из записи LNK или из списка переходов, можно найти этот же VSN в событиях диагностики разделов. Так получается надёжно связать конкретный документ с конкретным съёмным томом — независимо от того, какая буква диска была назначена в тот момент.

Отслеживание навигации и запуска программ

Иногда нужно показать, по каким папкам пользователь переходил, или подтвердить запуск портативной утилиты прямо с внешнего носителя. Для этого используются дополнительные артефакты:

• ShellBags: Расположенные в кустах реестра пользователя (NTUSER.DAT и UsrClass.dat), ключи ShellBags фиксируют настройки отображения папок, которые пользователь открывал в «Проводнике». Эти записи сохраняются и после того, как устройство давно отключили.
• Timeline (ActivitiesCache.db): В Windows 10 была функция Timeline, которая записывала активность пользователя в базу SQLite (%LocalAppData%\ConnectedDevicesPlatform). В Windows 11 функцию вроде бы убрали, но система всё равно продолжает собирать данные — по крайней мере, в некоторых конфигурациях. Отметим, что Windows Timeline предоставляет информацию только о приложениях, которые были запущены на компьютере в течение последних 30 дней или даже меньше. По истечении этого времени записи удаляются.
• Отслеживание выполнения программ: Если нужно подтвердить запуск программы со съёмного носителя, проверяйте несколько источников. Артефакты совместимости приложений (включая Amcache.hve), а также ключи BAM (Background Activity Moderator) и DAM могут сохранять сведения о выполнении. В Windows 11 служба PCA (Program Compatibility Assistant) также ведёт журналы событий запуска, которые удобно читать.

Заключение

Ни один из описанных источников не даёт полной картины сам по себе. Чтобы уверенно восстановить историю использования внешнего носителя, данные обычно сопоставляют на нескольких уровнях: идентифицируют устройство в реестре, ограничивают время подключения по меткам и журналам событий, связывают носитель с томами хранения через VSN, а затем подтверждают работу с файлами по артефактам файловой системы. Такой подход помогает последовательно восстановить цепочку действий и обосновать выводы, минимизируя двусмысленности. Извлекать артефакты из всех перечисленных источников рекомендуем с помощью нашего инструмента Elcomsoft Quick Triage, который можно запускать как с портативного носителя на исследуемом компьютере, так и в лаборатории, исследуя с его помощью образ диска или смонтированный том.