一种深度检查U盘使用记录的方法技术

本发明专利技术实现一种深度检查U盘使用记录的方法，包括从注册表中解析U盘使用记录的常规检查方法，以及从磁盘扇区数据中解析U盘使用记录的深度检查方法。本发明专利技术适用于政府机关、银行、国家保密单位等。

A Method for Deep Inspection of Udisk Usage Records

The invention realizes a method for in-depth inspection of U disk usage records, including a conventional inspection method for parsing U disk usage records from the registry and a depth inspection method for parsing U disk usage records from disk sector data. The invention is applicable to government organs, banks, state secrecy units, etc.

【技术实现步骤摘要】
一种深度检查U盘使用记录的方法
本专利技术创造涉及信息安全领域，尤其涉及信息安全领域的U盘使用方法。
技术介绍
国家保密单位和涉密行业70%的泄密事件发生，都是违规使用U盘造成，所以对于U盘使用记录的严格管控，能够防止泄密事件的发生。对涉密计算机上的违规操作，U盘使用记录的彻底检查，促进保密工作制度化、规范化及常态化的管理。
技术实现思路
本专利技术的目的在于提供一种彻底检查U盘使用记录的方法，检查在涉密机器上违规使用U盘的行为，做到防止泄密事件发生的目的，对系统进行U盘使用记录的注册表常规检查和磁盘扇区数据深度检查相结合的方法，让U盘使用记录无处遁形。为了实现以上目的，本专利技术创造采用的技术方案为：一种深度检查U盘使用记录的方法，包括从注册表中解析U盘使用记录的常规检查步骤，以及从磁盘扇区数据中解析U盘使用记录的深度检查步骤。所述的常规检查步骤为U盘在系统中插入使用后，会在系统的注册表中自动记录U盘制造商和产品信息，文本形式表示为Ven_XXXX&Prod_XXXX;数字形式表示为Vid_nnnn&Pid_nnnn;制造商和产品的ID均为4位16进制数字，加上四位版本号，对于一款产品可以用12位16进制硬件编号来表示，也就是24bit长度ID。在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum下有USB和USBSTOR两个子项。USB子项记录了所有插入到机器上的USB设备，USBSTOR存放的是所有具有存储类型的USB设备。因为需要获取所有USB设备，所以需要遍历HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB子项USB子项名称格式如下：VID_XXXX&PID_XXXX，其中X代表0-9的数字。USB孙子项的值则是USB设备的序列号值，由此根据USB子项和孙子项可以获取到PID、VID、序列号值；所述的深度检查步骤为：将磁盘分区当作文件访问，读取一个扇区内容，判断分区中是否存在形如“##USB#Vid_xxxx_Pid_xxxx…”格式的数据，如果存在，则再判断该数据是不是表示的注册表的项，通过这个字符串只能解析出VID，PID，序列号信息。如果匹配上，则这条记录是USB使用记录，需要从磁盘上彻底清理这条数据。有益效果：与现有技术相比，本专利技术具有以下优点：彻底检查U盘使用记录，对于使用工具清理了注册表甚至重装系统之后，仍能检查出U盘使用记录。附图说明：图1本专利技术创造的架构图。具体实施方式：下面结合附图，对本专利技术创造做进一步阐述：1.如图1，U盘使用记录常规解析模块：lUSB设备记录获取在注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum”下有USB和USBSTOR两个子项。USB子项记录了所有插入到机器上的USB设备，USBSTOR存放的是所有具有存储类型的USB设备。因为需要获取所有USB设备，所以需要遍历“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB”子项USB子项名称格式如下：VID_XXXX&PID_XXXX，其中X代表0-9的数字。USB孙子项的值则是USB设备的序列号值，由此根据USB子项和孙子项可以获取到PID、VID、序列号值。lUSB设备类型、设备名称获取在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB”的子项中有名为ClassGUID的值，获取该项的值。根据ClassGUID可以判断出USB设备类型，对于非USB存储设备，首先读取“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB”孙子项名为Driver的值，读取“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\读取的Driver值”中名为DriverDesc的值，该值即为USB设备的名称。对于存储设备名称，读取“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\序列号”项中的FriendlyName的值，该值即是USB设备的友好名称。l首次使用时间获取USB设备安装驱动的时间可以看成是设备第一次使用时间，Windows对于所有硬件的安装信息都会写到日志文件中。在XP系统下硬件安装日志文件是C:\Windows\setupapi.log，WIN7下硬件安装日志文件是C:\Windows\inf\setupapi.dev.log。l最后使用时间获取每次插或拔出USB设备时，都会更新注册表项“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}\##USB#VID_xxxx&PID_xxxx#序列号#{a5dcbf10-6530-11d2-901f-00c04fb951ed}\\#\\Control”的最后修改时间，获取该项的最后修改时间即为USB设备最后一次使用时间。另外获取该项下名为“Linked”的数据值，可以判断USB设备是否正在使用。2.U盘使用记录深度解析模块：读取磁盘扇区数据，检查被删除的USB使用记录。这里所指的被删除的USB使用记录，是指USB使用记录从注册表中被删除。而其真实存放在磁盘上的数据并没有被清除。在注册表中，USB记录的项名为##USB#Vid_xxxx_Pid_xxxx…。所以我们将分区作为文件打开，读取一个扇区内容；判断分区中是否存在形如“##USB#Vid_xxxx_Pid_xxxx…”格式的数据，如果存在，则再判断该数据是不是表示的注册表的项。通过这个字符串只能解析出VID，PID，序列号信息。本文档来自技高网...

【技术保护点】
1.一种深度检查U盘使用记录的方法，包括从注册表中解析U盘使用记录的常规检查步骤，以及从磁盘扇区数据中解析U盘使用记录的深度检查步骤，其特征在于所述的深度检查步骤为将磁盘分区当作文件访问，读取一个扇区内容，判断分区中是否存在形如“##USB#Vid_xxxx_Pid_xxxx…”格式的数据，如果存在，则再判断该数据是不是表示的注册表的项，通过这个字符串只能解析出VID，PID，序列号信息；如果匹配上，则这条记录是USB使用记录，需要从磁盘上彻底清理这条数据。

【技术特征摘要】
1.一种深度检查U盘使用记录的方法，包括从注册表中解析U盘使用记录的常规检查步骤，以及从磁盘扇区数据中解析U盘使用记录的深度检查步骤，其特征在于所述的深度检查步骤为将磁盘分区当作文件访问，读取一个扇区内容，判断分区中是否存在形如“##USB#Vid_xxxx_Pid_xxxx…”格式的数据，如果存在，则再判断该数据是不是表示的注册表的项，通过这个字符串只能解析出VID，PID，序列号信息；如果匹配上，则这条记录是USB使用记录，需要从磁盘上彻底清理这条数据。2.根据权利要求1所述的一种深度检查U盘使用记录的方法，其特征在于所述的常规检查步骤为U盘在系统中插入使用后，会在系统的注册表中自动记录U盘制造商和产品信息，文本形式表示为Ven_XXXX&Prod_XXXX;数字形式表示为Vid_nnnn&Pi...

【专利技术属性】
技术研发人员：傅涛，
申请(专利权)人：江苏博智软件科技股份有限公司，
类型：发明
国别省市：江苏,32