Auditoria Puertos Usb

10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado.
| Seguridad y Redes
Seguridad y Redes
Página personal de Alfon.
Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado.

Publicado el 19 mayo, 2010
A la hora de administrar una red local, entre otras muchas tareas que ya hemos visto, es posible que tengamos que controlar ciertos tipos de activades relativas a
dispositivos conectados a las máquinas de los usuarios como dispositivos USB, teléfonos moviles, cámaras digitales, adaptadores WiFi, Bluetooth,
etc. Los dispositivos conectados a través de puertos USB pueden acarrearnos muchos problemas de seguridad y fugas de información.
En esta ocasión veremos la forma de auditar este tipo de dispositivos, historial de uso y toda la información relativa a cada dispositivo conectado, así como fechas.
Lo veremos a través del registro de Windows y programas diseñados para tal efecto y como pueden ser USB History Dump, USBDeview y
DeviceLock Plug and Play Auditor.
Actualizado. (Se añade USB History Dump )
El Registro de Windows.
Cuando a una máquina se conecta un dispositivo USB, el administrador Plug and Play recibe una notificación,
consulta el descriptor de dispositivos para obtener información tal como el fabricante, etc para encontrar un
driver o controlador para el dispositivo o cargar un nuevo controlador. Todo esto queda reflejado en el archivo
setupapi.log que registra información relativa a los dispositivos instalados, drivers y el historial de instalación y
errores. También se almacenará la fecha y la hora en que el dispositivo de almacenamiento extraíble USB se
conectó al sistema por primera vez:
[2010/01/21 12:33:16 644.7 Driver Install]
#-019 Buscando Id. de hardware:
usbstor\diskkingstondatatraveler_2.01.00,usbstor\diskkingstondatatraveler_2.0,usbstor\diskkingston,usbstor\kingstondatatraveler_2.01,kingstondatatraveler_2.01,usbstor\gendisk,gendisk
#-018 Buscando Id. compatibles: usbstor\disk,usbstor\raw
#-198 Línea de comando procesada: C:\WINDOWS\system32\services.exe
#I022 Encontrado “GenDisk” en C:\WINDOWS\Inf\disk.inf; Dispositivo: “Unidad de disco”; Controlador: “Unidad de disco”; Proveedor: “Microsoft”; Fab: “(Unidades de disco estándar)”; Nombre de
sección:”disk_install”.
#I023 Sección de instalación actual: [disk_install.NT]. Rango: 0x00000006. Fecha de controlador efectiva: 07/01/2001.
#-166 Función de instalación de dispositivo: DIF_SELECTBESTCOMPATDRV.
#I063 El controlador seleccionado se instala desde la sección [disk_install] in “c:\windows\inf\disk.inf”.

Privacidad & Cookies: este sitio usa cookies. Al continuar usando este sitio, estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
Política de Cookies.
#I320 El GUID de clase del dispositivo se conservará como {4D36E967-E325-11CE-BFC1-08002BE10318}.
#I060 Se ha establecido el controlador seleccionado. Cerrar y aceptar
https://seguridadyredes.wordpress.com/2010/05/19/auditando-puertos-usb-y-otros-dispositivos-registro-de-windows-y-software-dedicado/ 1/14
10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado. | Seguridad y Redes
#I058 Se ha seleccionado el mejor controlador compatible.
#-166 Función de instalación de dispositivo: DIF_INSTALLDEVICEFILES.
#I124 Realizando instalación sólo de copia de “USBSTOR\DISK&VEN_KINGSTON&PROD_DATATRAVELER_2.0&REV_1.00703120512562&0”.
#-166 Función de instalación de dispositivo: DIF_REGISTER_COINSTALLERS.
#I056 Coinstaladores registrados.
#-166 Función de instalación de dispositivo: DIF_INSTALLINTERFACES.
#-011 Instalando sección [disk_install.NT.Interfaces] desde “c:\windows\inf\disk.inf”.
#I054 Se han instalado las interfaces.
#-166 Función de instalación de dispositivo: DIF_INSTALLDEVICE.
#I123 Realizando instalación completa de “USBSTOR\DISK&VEN_KINGSTON&PROD_DATATRAVELER_2.0&REV_1.00703120512562&0”.
#I121 La instalación del dispositivo de “USBSTOR\DISK&VEN_KINGSTON&PROD_DATATRAVELER_2.0&REV_1.00\0703120512562&0” terminó correctamente.
REPORT THIS AD REPORT THIS AD
A continuación genera una entrada en el registro denominada Device Class ID en

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR que identifica la clase del dispositivo. Bajo esta clave se crea
otra clave ID de formá uníca ó Unique Instance ID utilizando el número de serie del dispositivo o de no haberlo
obtenido o encontrado, el sistema genera un identificador también único. Eso lo podemos identificar si el
segundo carácter del identificador ( Unique Iinstance ID ) contiene el símbolo &.
Lo vemos:
En rojo tenemos el Device Class ID y en azul el Unique Instance ID.
En la ventana
Privacidad de
& Cookies: lasitio
este derecha del
usa cookies. editor usando
Al continuar de registro
este sitio, vemos también:
estás de acuerdo con su uso. Para saber más, incluyendo como controlar las cookies, mira aquí:
Cerrar y aceptar
Observamos que el ClassGUID 4D36E967-E325-11CE-BFC1-08002BE10318 lo tenemos también en el

fragmento del archivo setupapi.log que tenemos más arriba.
Observad el ParentIdPrefix: 7&146f1415&0 que lo usaremos un poco más abajo.
Si realizamos una búsqueda en el registro por el valor de Unique Instance ID que más arribas tenemos
marcado en azul: 0703120512562&0 vemos que lo encontramos en:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
Enmarcado en rojo tenemos el valor de Unique Instance ID que más arribas tenemos marcado en azul:
0703120512562&0
Cerrar y aceptar
Un poco más abajo tenemos otra subclave que contiene el ParentIdPrefix: 7&146f1415&0 :
Estas dos subclaves anteriores corresponden a Class GUID keys de disco y de volumen.
Tenemos otra clave HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
Aquí y con el valor de ParentIdPrefix, veremos en que volumen se montó el dispositivo USB. Solo tenemos que
editar el valor binario para en la parte en Haxadecimal buscar el valor ParentIdPrefix
mencionado:
En este caso no aparece el volumen. Puede ocurrir. En la mayoría si:
Cerrar y aceptar
En este último caso, y buscando en la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR vemos que se

trata de un dispositivo similar para el cual se ha creado un Unique Instance ID diferente:
Vamos ahora con las fechas y otras informaciones que nos pueda aportar las claves. Si volvemos a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses y elegimos la subclave que nos interesa, por
ejemplo, las mismas marcadas en el ejemplo más arriba reseñado, hacemos lo siguiente: botón derecho del
ratón y explortar en archivo .txt, si lo editamos encontraremos:
Software para auditar eventos de dispositivos USB.
Para esta tarea tenemos programas como USBDeview o DeviceLock Plug and Play Auditor que, además,
puede auditar Firewire (IEEE 1394) y PCMCIA. Para usar en la consola DOS, tenemos también USB History
Viewing. que, además, puede auditar Firewire (IEEE 1394) y PCMCIA. Para usar en la consola DOS, USB
History Dump.
DeviceLock Plug and Play Auditor
Con DeviceLock Plug and Play Auditor podenos escanear una red local en busca de dispositivos en pouertos
USB:
Cerrar y aceptar
La información que nos aporta es mucha y como vemos más abajo tenemos dispositivos moviles Nokia, USB
extraibles, etc y además información de si está en este momento en uso:
Para poder entrar en las máquinas a escanear, previamente hay que introducir las credenciales desde el menu
File > Credentials..
Tenemos las siguientes columnas de información:
Description: la descripción del dispositivo que proporciona su fabricante.

Device Information: información adicional relativa al dispositivo proporcionada por el fabricante.
Connected to: interfaz donde está conectado el dispositivo (USB, FireWire oPCMCIA).
Class: la clase del dispositivo proporcionada por Windows.
Class description: la descripción de la clase del dispositivo proporcionada por Windows.
Present: indica si el dispositivo está actualmente conectado o no (Yes o No).
DeviceID: texto proporcionado por el fabricante que identifica un dispositivo en particular.
Driver: nombre del controlador que está controlando este dispositivo.
USBDView.
Al ejecutar
Política el programa:
de Cookies.
Cerrar y aceptar
botón derecho del ratón en cualquiera de los items y Propiedades.
Como veis no tiene mucha historia:
Cerrar y aceptar
USB History Dump.
Lo descargamos desde aquí:

http://sourceforge.net/projects/usbhistory/files/usbhistory/release%20one/usbHistory.r1.i386.zip/download
Lo ejecutamos desde una consola DOS:
Aquí tenemos información relativa a:
Unique InstanceID
ParentIdPrefix
en que unidad se montó el dispositivo por última vez
Disk Stamp y Volume Stamp.
Del los ejemplos que hemos visto más arriba en el registro de Windows:
(6) — Kingston DataTraveler 2.0 USB Device
instanceID: 0703120512562&0
ParentIdPrefix: 7&146f1415&0
Driver:{4D36E967-E325-11CE-BFC1-08002BE10318}002
Disk Stamp: 05/13/2010 07:56

Volume Stamp: 05/13/2010 07:56
Cerrar y aceptar
instanceID: 2008012500000000000002AB&0
ParentIdPrefix: 7&15730ba3&0
Driver: {4D36E967-E325-11CE-BFC1-08002BE10318}011
Disk Stamp: 04/15/2010 13:35
Volume Stamp: 04/15/2010 13:35
instanceID: 20080125000000000000039D&0
ParentIdPrefix: 7&154fd82a&0
Last Mounted As: \DosDevices\E:
Driver: {4D36E967-E325-11CE-BFC1-08002BE10318}003
Disk Stamp: 05/13/2010 12:03
Volume Stamp: 05/13/2010 12:03
—————
PUBLICIDAD
Repetir el video
Más info
Anuncios
Tu voto:
10 Votes
Share this:
 
Política de Cookies.Facebook
Twitter
Cerrar y aceptar
Me gusta
Sé el primero en decir que te gusta.
Relacionado
Yoggie's Gatekeeper Pico. Dispositivo de Posición del sniffer en nuestra red. Redes Skype. Algunas consideraciones sobre Skype
seguridad personal en hardware. conmutadas y no conmutadas. y Bloqueo de tráfico usando Wireshark /
En "Seguridad y redes" En "Actualizaciones de Artículos" Snort. Parte 1
En "Seguridad y redes"
Esta entrada fue publicada en Auditoría, Seguridad y redes. Guarda el enlace permanente.
20 respuestas a Auditando puertos USB y otros dispositivos. Registro de windows y

software dedicado.
hulehule dijo:
22 mayo, 2010 en 3:13 pm
Muy buen artículo!!!

Estoy estudiando el registro de windows y realmente tiene algunos secretos interesantes.
Otra cosa… para limpiarlo por ahí conviene recomendar el Ccleaner. Encontré un tutorial la semana pasado muy interesante.
Responder
Alfon dijo:
24 mayo, 2010 en 9:44 am
Gracias huluhulu por tu comentario y por leerme.

Responder
Batchman dijo:
9 septiembre, 2010 en 11:25 pm
Hablando de secretos ¿has escuchado del userassist en el regedit?, algo de auditoria muy interesante.
Responder
Alfon dijo:
10 septiembre, 2010 en 10:48 am
Si Batchman. Sería interesante hacer una artículo al respecto. Saludos.

Responder
José Luis Toloza dijo:

9 diciembre, 2010 en 3:56 am
Hola. Soy de Chile.

Necesito saber si en el registro de Windows (regedit) queda registrada la fecha y la hora en la cual se retiró un pendrive de mi
pc. Lo que pasa es que quedó conectado y alguien lo robó y necesitamos averiguar la hora del robo. Se trata de un SONY
WAKLMAN NWZ-B152F.
Al mirar el registro y buscar dentro del con la herramienta de búsqueda, aparecen barias llaves con el nombreCerrar y aceptar
del pendrive,
pero no sale la fecha ni hora de retiro.

Favor de ayudar. Gracias.
Responder
Alfon dijo:
13 diciembre, 2010 en 11:23 am
José Luís Toloza, con la herramienta USBDeview puedes ver los registros de fecha y hora. Hay un columna (Last Plug /
Unplug Date) que te informa, si un determinado dispositico, no está conectado, de la fecha y hora exacta en la que se
desconectó dicho dispositivo del sistema auditado.
saludos,
Responder
CharlyLP dijo:
5 abril, 2011 en 4:18 pm
Una Pregunta a este respecto, el Registro de Windows o Windows en general almacenan información acerca de qué archivo
se copia en un Pendrive? Tengo la sospecha de que un subordinado mio me esta sacando informacion de la empresa a afuera.
Hay manera de demostrar esto ante la ley? gracias de antemano.
Responder
Juan dijo:
15 abril, 2011 en 9:56 pm
hola quisiera saber si en el ditor de registro donde aparece la informacion de la usb conectada se puede borrar con el click
derecho del mouse y no causa algun error en el editor de registro
Responder
maria dijo:
16 mayo, 2011 en 3:09 am
hola, tengo una duda, como hago para ver el nombre de la usb, por ejemplo si conecto la mia me aparece el nombre “maria”??
que es como tengo nombrada a mi memoria?
Responder
Alfon dijo:
17 mayo, 2011 en 5:36 pm
Hola maria. Te pongo un ejemplo para USBDeview para que te resulte más sencillo.
Si insertas un dispositivo USB en tu máquina y ejecutas USBDeview, verás que si en Mi PC te aparece una unidad X con
nombre, por ejemplo, USB20FD, en USBDeview aparecerá una Device name que dice USB 2.0 FD y una Descripción: PNY
USB 2.0 FD USB Device.
De las misma forma, aparecerán otros Devices que estuvieron “pinchados” en tu máquina y ahora no lo están y en la columna
Connected dirá No.
Responder
Cerrar y aceptar
Gracias por el aporte dijo:
22 mayo, 2011 en 4:51 am
Te agradesco este gran aporte

Responder
Karol dijo:
13 agosto, 2012 en 5:52 pm
Hola.
Gracias por el artículo.
Me acaba de pasar algo parecido a José Luis Toloza de Chile (ya comentó antes).
Me gustaría saber cómo puedo saber si alguien copió archivo de mi pendrive a otro dispositivo.
Me han dicho que la computadora debe dejar un registro de cada una de las cosas que se hacen en ella pero no sé como
hacerlo.
Agradecería ayuda.
Saludos.
Responder
Roy Silva dijo:

22 noviembre, 2012 en 4:58 pm
Hola,
Tengo una duda, anteriormente habia tenido inconvenientes con mi bandeja de DVD, (no me reconocia el driver) busque en
otros tutoriales y tenia que modificar/eliminar registros “UpperFilters y LowerFilters (filtros altos y bajos)”…. Mi pregunta
es: ¿Puedo hacer lo mismo para dispositivos de almacenamiento?
Es decir mi computadora al introducir un telefono con memoria (por ejemplo) me aparece en la barra de escritorio que se
esta instalando el controlador pero luego me sale error… eso me sucede con todos los dispositivos USB que utilizo…. quisiera
saber si a travez del editor de registros puedo solucionarlo.
En espera de tus comentarios, me despido.
saludos,
Responder

ghorsefordd dijo:
28 noviembre, 2012 en 10:14 pm Cerrar y aceptar
We want buy ad space on your site!

Responder
Pingback: Consulta
angiechavarria dijo:
25 febrero, 2015 en 4:47 pm
¡Hola! por favor ayúdame. Yo quiero saber si alguien tomó mi usb y la conectó a otro equipo para ver mis archivos.¿El USB
History Dump.sirve para eso? No entiendo como se usa.
Responder
Ruben dijo:
24 abril, 2015 en 7:43 pm
Pudiste hacerlo funcionar para auditar dispositivos en windows 7?

Saludos!
Responder
Tom dijo:
11 mayo, 2016 en 10:17 pm
Deseo saber si se puede ver que videos se observan en mi pc a través de la usb.

Responder
Ale dijo:
28 julio, 2016 en 7:16 pm
Hola! he leído el articulo y me parece muy bueno. He visto que se puede sacar mucha información pero tengo una duda que
quizá no he entendido. ¿Si conecto un USB a un PC, tras la auditoría se puede saber que archivos se han estado viendo? Es
decir, queda registro de los archivos vistos?¿solo se puede ver el formato como si es un pdf o un avi u otro tipo o también el
contenido?
Responder
darkeded
Política de Cookies. dijo:
30 agosto, 2016 en 7:36 pm
Cerrar y aceptar
muchas gracias, usé el programa usbdeview porque el metodo manual se me hace muy complicado
Responder
Seguridad y Redes
Blog de WordPress.com.
Cerrar y aceptar

Auditoria Puertos Usb

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Auditoria Puertos Usb

Încărcat de

Drepturi de autor:

Formate disponibile

10/8/2019 Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado.

Auditando puertos USB y otros dispositivos. Registro de windows y software dedicado.

DeviceLock Plug and Play Auditor.

Actualizado. (Se añade USB History Dump )

[2010/01/21 12:33:16 644.7 Driver Install]

#-019 Buscando Id. de hardware:

#-018 Buscando Id. compatibles: usbstor\disk,usbstor\raw

#-198 Línea de comando procesada: C:\WINDOWS\system32\services.exe

#-166 Función de instalación de dispositivo: DIF_SELECTBESTCOMPATDRV.

#I063 El controlador seleccionado se instala desde la sección [disk_install] in “c:\windows\inf\disk.inf”.

#I060 Se ha establecido el controlador seleccionado. Cerrar y aceptar

#I058 Se ha seleccionado el mejor controlador compatible.

#-166 Función de instalación de dispositivo: DIF_INSTALLDEVICEFILES.

#I124 Realizando instalación sólo de copia de “USBSTOR\DISK&VEN_KINGSTON&PROD_DATATRAVELER_2.0&REV_1.00703120512562&0”.

#-166 Función de instalación de dispositivo: DIF_REGISTER_COINSTALLERS.

#I056 Coinstaladores registrados.

#-166 Función de instalación de dispositivo: DIF_INSTALLINTERFACES.

#-011 Instalando sección [disk_install.NT.Interfaces] desde “c:\windows\inf\disk.inf”.

#I054 Se han instalado las interfaces.

#-166 Función de instalación de dispositivo: DIF_INSTALLDEVICE.

#I123 Realizando instalación completa de “USBSTOR\DISK&VEN_KINGSTON&PROD_DATATRAVELER_2.0&REV_1.00703120512562&0”.

#I121 La instalación del dispositivo de “USBSTOR\DISK&VEN_KINGSTON&PROD_DATATRAVELER_2.0&REV_1.00\0703120512562&0” terminó correctamente.

REPORT THIS AD REPORT THIS AD

A continuación genera una entrada en el registro denominada Device Class ID en

En rojo tenemos el Device Class ID y en azul el Unique Instance ID.

Observamos que el ClassGUID 4D36E967-E325-11CE-BFC1-08002BE10318 lo tenemos también en el

Observad el ParentIdPrefix: 7&146f1415&0 que lo usaremos un poco más abajo.

REPORT THIS AD REPORT THIS AD

REPORT THIS AD REPORT THIS AD

Tenemos otra clave HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

En este caso no aparece el volumen. Puede ocurrir. En la mayoría si:

En este último caso, y buscando en la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR vemos que se

Software para auditar eventos de dispositivos USB.

DeviceLock Plug and Play Auditor

Tenemos las siguientes columnas de información:

Description: la descripción del dispositivo que proporciona su fabricante.

botón derecho del ratón en cualquiera de los items y Propiedades.

Como veis no tiene mucha historia:

USB History Dump.

Lo descargamos desde aquí:

Lo ejecutamos desde una consola DOS:

Aquí tenemos información relativa a:

(6) — Kingston DataTraveler 2.0 USB Device

Disk Stamp: 05/13/2010 07:56

Disk Stamp: 04/15/2010 13:35

Volume Stamp: 04/15/2010 13:35

Last Mounted As: \DosDevices\E:

Disk Stamp: 05/13/2010 12:03

Volume Stamp: 05/13/2010 12:03

REPORT THIS AD REPORT THIS AD

Sé el primero en decir que te gusta.

20 respuestas a Auditando puertos USB y otros dispositivos. Registro de windows y

Muy buen artículo!!!

Gracias huluhulu por tu comentario y por leerme.

Si Batchman. Sería interesante hacer una artículo al respecto. Saludos.

José Luis Toloza dijo:

Hola. Soy de Chile.

pero no sale la fecha ni hora de retiro.

22 mayo, 2011 en 4:51 am

Te agradesco este gran aporte

Roy Silva dijo:

En espera de tus comentarios, me despido.

REPORT THIS AD REPORT THIS AD