小王最近有点郁闷,因为自己放在宿舍的电脑周五还好好的,周日回来使用后就发现中了Autorun病毒,由于周五自己电脑才重装系统,几乎可以肯定是宿舍哥们在自己电脑插入带毒U盘所致。可是没有哪个哥们承认在自己电脑上用过U盘。不过系统注册表保留了本机所有USB设备插入记录,这样一条命令就让小王找到了“真凶”。
以管理员身份启动命令提示符,然后输入“reg query HKLM\System\currentcontrolset\enum\usbstor /s”,很快就可以看到本机总共使用过了两个USB设备,从“FriendlyName”可以知道一个是自己安装系统使用的金士顿U盘,一个则为朗科(Netac OnlyDisk)外来U盘,显然元凶即为朗科U盘(见图1)。
小提示:
如果本机使用过的U盘很多,可以使用““reg query HKLM\System\currentcontrolset\enum\usbstor /s >c:\usb.txt”,将结果输出到txt文件中,然后使用“FriendlyName”作为关键词查找即可。
知道染毒U盘的真凶后,稍微询问一下就知道U盘是上铺的大李所有,不过在罪证面前,大李仍然在顽抗,说很多人都有朗科U盘,凭什么说这个U盘就是他的。看来还得找出更有说服力的证据。大家知道,在本机使用硬件时,系统都会依据硬件的序列号位其分配一个“设备范例ID”,这个ID号在其他电脑上的显示也是一样的。上述命令中的“ \Disk&Ven_Netac&Prod_OnlyDisk&Rev_1.10\FEA80E9B624B23E5&0”最后的数字就是“设备范例ID”。现在把大李的U盘查到其他人电脑上,然后打开设备管理器,依次展开“磁盘驱动器→当前U盘→属性”,打开属性窗口后切换到“详细信息”,这里的“设备范例ID”显示的代码和小王电脑上的查询到的是一致的,这下大李终于无话可说了(见图2)。
图2
小提示:
实际上注册表保存了很多硬件、软件的使用信息,比如,即使你设置在EXCEL不显示最近打开的文件,我们打开[HKCU\Software\ Microsoft\ Office\11. 0\ Excel\ Recent Files],仍然可以看到Excel最近打开的文档。善于查看注册表信息,可以给我们操作带来很多便利。
