Ladon命令行查看USB使用记录

Delina

原文链接：Ladon命令行查看USB使用记录
​
Ladon UsbLog查看USB使用记录，检测是否被他人用U盘插过自己电脑
目录1.Ladon查看USB使用记录
2.CMD查看USB使用记录
3.BAT查看USB使用记录
4.C#查看USB使用记录
更新功能Ladon >=8.7 2021.8.14
[+]UsbLog USB使用记录查看(USB名称、USB标记、路径信息)
Ladon查看

Ladon UsbLog

​

可以看到Ladon获取的信息要比CMD获取的参数更多更详细,可通过这些信息判断当前电脑插入过几个U盘或移动硬盘，是否需要进行下一步工作
C#查看

1. USBConnKey = Registry.LocalMachine.OpenSubKey(@"SYSTEM\CurrentControlSet\Enum\USBSTOR", false);
   
2. foreach (string sub1 in USBConnKey.GetSubKeyNames())
   
3. {
   
4.     RegistryKey sub1key = USBConnKey.OpenSubKey(sub1, false);
   
5.     foreach (string sub2 in sub1key.GetSubKeyNames())
   
6.     {
   
7.         try
   
8.         {
   
9.             RegistryKey sub2key = sub1key.OpenSubKey(sub2, false);
   
10.             if (sub2key.GetValue("Service", "").Equals("disk"))
    
11.             {
    
12.                 String Path = "USBSTOR" + "\" + sub1 + "\" + sub2;
    
13.                 String Name = (string)sub2key.GetValue("FriendlyName", "");
    
14.                 Console.WriteLine("USB_Name: " + Name);
    
15.                 Console.WriteLine("UID_Tag: " + sub2);
    
16.                 Console.WriteLine("Path: " + Path + "\r\n");
    
17.             }
    
18.         }
    
19.         catch (Exception msg)
    
20.         {
    
21.             Console.WriteLine(msg.Message);
    
22.         }
    
23.     }
    
24. }

复制代码

CMD查看

• 
  

for /f  %i in ('reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR') do @for /f %x in ('reg query "%i"') do @reg query "%x" /v FriendlyName | findstr FriendlyName
BAT查看

• 
  

for /f  %%i in ('reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR') do @for /f %%x in ('reg query "%%i"') do @reg query "%%x" /v FriendlyName | findstr FriendlyName
Ladon其它信息收集模块Getinfo 渗透基础信息收集(常用命令)
Getinfo2 渗透基础信息收集(WMI信息)
RdpLog  查看3389连接记录
Recent   最近文件访问记录
QueryProxy 查看代理服务器
GetPipe 查看本机命名管道
netver    .net&powershell版本查看
allver     安装软件列表
GetID    获取GUID、MAC、硬盘ID、CpuID等
获取其它信息参考：Ladon9.1简明使用教程

​