Как узнать серийный номер флешки

Обновлено: 20.11.2024

Отслеживание пользователей, вредоносных программ и утечек данных по серийным номерам USB на флешках, смартфонах и MP3-плеерах

Отслеживание пользователей, вредоносных программ и утечек данных по серийным номерам USB на флэш-накопителях, смартфонах и MP3-плеерах

Я мало пишу о криминалистической стороне безопасности, но я подумал, что это интересная тема, которую я раньше не видел. Пока я занимался исследованием аппаратных кейлоггеров USB, я узнал довольно много о USB-устройствах, о которых раньше не знал. Помимо идентификаторов поставщиков и идентификаторов продуктов, некоторые устройства также имеют серийный номер, связанный с ними. Строка «Дескриптор серийного номера» является необязательной, но она есть на многих устройствах, таких как флэш-накопители, съемные жесткие диски USB, КПК и мобильные телефоны. Это заставило меня задуматься: как эти данные можно использовать в контексте безопасности или криминалистики? Я могу придумать несколько сценариев навскидку:

Ω Найдена флешка с контрабандой, но никто из подозреваемых не утверждает, что владеет ею. Если серийный номер флешки обнаружен в реестре Windows одного из подозреваемых, это может свидетельствовать о том, кому она принадлежит.

Вредоносное ПО Ω распространяется по вашей сети, и вы считаете, что переносчиком являются флэш-накопители. Используя серийный номер, вы можете искать в сети компьютеры, на которых использовался известный зараженный диск, чтобы получить представление о том, на каких рабочих станциях вам придется выполнять очистку. Это также может помочь вам узнать, кто принес вредоносное ПО в сеть (Нулевой пациент) или кто был самой крупной брюшнотифозной Мэри.

Ω Вы подозреваете, что некоторые данные были украдены с сервера отдела, и вы обнаружили серийный номер подозрительного MP3-плеера в реестре сервера Windows. MP3-плееры можно использовать в качестве универсальных запоминающих устройств. Поискав в сети другие коробки, к которым был подключен тот же самый MP3-плеер, вы можете обнаружить, что единственная другая коробка, на которой он когда-либо использовался, — это коробка Боба. Это делает Боба вероятным подозреваемым.

Я предполагаю, что вы могли бы придумать другие сценарии, в которых может быть полезно отслеживание серийного номера USB-устройства. Мы видим потенциал, но как нам получить эти данные и как автоматизировать их использование? Есть два основных места, откуда вы можете получить эту информацию в системе Windows XP/Vista/7:

Просматривать эти значения реестра напрямую довольно сложно. Удобнее всего просматривать эти данные с помощью бесплатного инструмента USBDeview от NirSoft, который можно загрузить с:

USBDeView предоставляет пользователю огромное количество информации о том, какие устройства подключены в данный момент, а какие были подключены раньше, но отсутствуют в данный момент.

Хорошо, теперь мы знаем, где на компьютере с Windows хранится эта информация, но есть ли автоматизированный способ найти ее и найти в сети другие места, где использовалось то же USB-устройство? В некоторых организациях может быть база данных отслеживания активов, в которой можно искать эту информацию, но у многих из нас нет такой системы. Я думал написать что-нибудь для этой задачи, но я довольно ленив. Потом я вспомнил, что большинство инструментов Нира можно использовать через сеть. Разумеется, у USBDeview тоже была такая возможность, все, что мне нужно было сделать, чтобы подключиться к удаленному компьютеру с Windows и просмотреть его реестр для USB-устройств, это выполнить эту простую команду:

USBDeview /remote \\SomeComputer

Имейте в виду, что я должен был войти в систему с учетной записью, имеющей доступ к этой машине, и некоторые службы должны быть доступны. У Нира есть хороший пост в блоге о том, что нужно, чтобы его инструменты работали через сеть:

Это решает проблему дампа информации с одной машины, но как быть со всей сетью? Что ж, кажется, у USBDview есть возможность взять список машин из текстового файла и получить список USB-устройств со всех из них. Синтаксис довольно прост:

USBDeview /remotefileboxes.txt

где box.txt — это список имен/IP-адресов компьютеров в формате UNC. Например:

Получение результатов займет некоторое время, так что наберитесь терпения. Получив отчет, мы можем отсортировать его по полю «Серийный номер», найти повторяющийся серийный номер на глаз, а затем перейти к полю «Имя компьютера», чтобы увидеть, на каких компьютерах использовалось это конкретное USB-устройство. Для своих снимков экрана я переупорядочил столбцы, чтобы сначала поставить поля, которые меня больше всего интересуют. Поля «Дата создания» и «Дата последнего подключения/отключения» также полезны для определения временной шкалы (очень удобно для поиска вредоносных программ «Нулевой пациент» или «Тифозная Мэри» на основе того, когда пользователь в последний раз входил в систему). Как вы можете видеть на первом снимке экрана, у меня есть два разных флэш-накопителя от Patriot Memory, которые были подключены к моим рабочим станциям Skynet и Cthulhu, но ни один из других ящиков, которые я сканировал:

На втором снимке экрана видно, что мой IronKey и Android-телефон моего бывшего соседа по комнате были подключены только к моей рабочей станции под названием Cthulhu:

Такую информацию можно стереть, но локальные злоумышленники редко думают о следах, которые оставляют их USB-устройства. Более подробно о стирании USB-трека я рассказываю в видеоролике о криминалистике, на который я дам ссылку в конце этой статьи.

Теперь вы можете подумать: сортировка и просмотр таблицы соответствия серийных номеров USB вручную может быть удобна, когда у вас всего четыре рабочих станции, но что, если у вас их намного больше? К счастью, Нир реализовал возможность сохранять выходные данные своего инструмента во многих различных форматах файлов, включая CSV (значения, разделенные запятыми). Практически любой инструмент для работы с базами данных (например, MS Access) может импортировать CSV-файл, и оттуда всего несколько SQL-запросов отделяют вас от поиска устройств, которые вы ищете. Например, если я хочу просмотреть вывод только для серийного номера 07850DA305FC, может помочь SQL-запрос, подобный этому:

SELECT Myoutput.*
FROM Myoutput WHERE Myoutput.[serial] = '07850DA305FC' ;

Чтобы сбросить результаты в CSV, вы можете взять результаты из графического интерфейса, выбрать все записи (Ctrl-A), затем выбрать значок сохранения и выбрать CSV из раскрывающегося списка, но есть более простой способ, если вы просто намерены импортировать результаты в базу данных для сортировки и поиска. Вы можете указать USBDeview сбросить вывод в файл, даже не открывая графический интерфейс, с помощью этой простой команды:

USBDeview /remotefile box.txt /scomma myoutput.csv

Небольшая автоматизация позволит вам делать регулярные отчеты. Я все еще заинтересован в поиске более эффективных способов отслеживания такого рода информации, поэтому, если вы знаете какие-либо хорошие бесплатные системы управления активами или системы с открытым исходным кодом, которые регистрируют серийные номера USB, или заинтересованы в кодировании чего-либо, чтобы помочь автоматизировать такие типы поиска, пожалуйста, дайте мне знать.

Если вы хотите просто замести следы, когда дело доходит до серийных номеров USB, посмотрите мое видео о криминалистике:

оно длится около трех часов и семи минут, но охватывает гораздо больше, чем просто USB-устройства. Надеюсь, вам понравилась статья, и вы можете подписаться на меня в Твиттере @Irongeek_ADC.

Краткий обзор ссылок:

Если вы хотите опубликовать одну из статей с этого сайта на своей веб-странице или в печатном журнале, свяжитесь с IronGeek .

Авторское право 2020, IronGeek
Луисвилл / Кентуккиана Энтузиаст информационной безопасности

С помощью командной строки (cmd) можно быстро и легко получить серийный номер USB-тома и серийный номер USB-устройства. Для выполнения этих функций не требуется опыта работы с компьютером, просто введите пару букв, и вы получите информацию!

Чтобы получить серийный номер тома USB, выполните следующие действия:

Вставьте флэш-накопитель USB в компьютер

Дважды щелкните букву диска, связанную с USB-накопителем (запомните букву диска, так как она понадобится вам через мгновение)

В проводнике введите: cmd

В командной строке введите: vol d: и нажмите Enter (где «d» — буква диска USB-накопителя)

Окно командной строки вернет результаты и будет выглядеть примерно так:

Том на диске D называется «Nexcopy»

Серийный номер тома: 3AAB-AA16

После того, как мы объясним, как получить серийный номер USB-устройства, мы объясним разницу между ними.

Чтобы получить серийный номер USB-устройства, выполните следующие действия:

Вставьте флэш-накопитель USB в компьютер

Дважды щелкните букву диска, связанную с USB-накопителем

В проводнике введите: cmd

В командной строке введите: wmic diskdrive, получите Model, Name, InterfaceType, SerialNumber и нажмите Enter

Окно командной строки вернет результаты и будет выглядеть примерно так:

Серийный номер USB-устройства находится в строке USB, а под столбцом «Серийный номер» вы увидите серийный номер USB-устройства. В этом примере серийный номер USB-устройства — 85Y112M1

Итак, теперь у нас есть серийный номер USB-тома и серийный номер USB-устройства. Что все это значит?

Определения серийных номеров USB

Метка тома – это имя, присвоенное определенному устройству (или тому хранилища) в файловой системе. В файловых системах FAT и FAT32 метка тома может состоять только из 11 символов и содержать все заглавные буквы. В файловой системе NTFS метка тома может содержать до 32 символов и может состоять из прописных и/или строчных букв при использовании букв (exFAT также может использовать прописные и/или строчные буквы при использовании букв).

Метку тома можно изменить.

Серийный номер тома уникален и (как правило) не изменяется пользователем, поэтому серийный номер тома действует как более последовательный и надежный способ идентификации устройства, особенно если метка тома была изменена. Например, форматирование флэш-накопителя USB изменит серийный номер тома. Серийный номер тома — это 32-битное число, определяемое датой и временем на часах реального времени на текущем компьютере во время форматирования диска.

Серийный номер USB-устройства – это уникальный номер устройства, который может представлять собой набор буквенно-цифровых строк. Серийный номер устройства записывается в постоянное запоминающее устройство (ПЗУ) устройства и не может быть изменен пользователем независимо от попыток это сделать. Серийный номер USB-устройства следует за устройством и позволяет любому хост-компьютеру однозначно идентифицировать устройство.

Большинство компьютеров, таких как компьютеры Windows и Mac, пытаются индексировать серийный номер USB-устройства, чтобы повысить эффективность работы с устройством при последующих подключениях.

Поскольку серийный номер USB-устройства уникален, записывается в память только для чтения и не может быть изменен, многие программисты и компании используют этот серийный номер аппаратного устройства в качестве метода аутентификации или проверки для запуска программ или приложений, хранящихся на самом USB-накопителе. . Хотя этот метод не является безопасным и его легко эмулировать, рекомендуется не использовать серийный номер USB-устройства в качестве метода аутентификации или проверки.

Вы можете быстро изменить серийный номер USB в Windows 10/8/7 с помощью AOMEI Partition Assistant Professional.

Автор: Dervish / Последнее обновление: 3 марта 2022 г.

Что такое серийный номер USB

Серийный номер USB — это идентификационный номер, созданный операционной системой для USB-накопителя в процессе создания файловой системы. Как правило, серийный номер USB представляет собой строку цифр для идентификации USB-накопителя и хранения основной информации о USB-накопителе. Помимо USB-накопителя, другие устройства хранения, такие как жесткий диск, SSD, SD-карта, имеют собственный серийный номер.

Как найти или проверить серийный номер USB в Windows 11/10/8/7?

Как получить серийный номер USB или другого запоминающего устройства? Серийный номер некоторых USB-устройств можно проверить в свойствах проводника Windows или с помощью CMD. Откройте проводник Windows, щелкните правой кнопкой мыши USB-накопитель и выберите «Свойства». Вы увидите серийный номер на вкладке «Подробности».

Если вы не можете найти номер в проводнике Windows, вы можете получить серийный номер USB с помощью CMD.

<р>1. Нажмите «Win + R», чтобы открыть окно «Выполнить», и введите «cmd», чтобы войти в командную строку.

<р>2. Введите команду «dir [буква диска:]» в командной строке и нажмите Enter.

Как изменить серийный номер в Windows 11/10/8/7? (с 2 методами)

По определенным причинам вы можете изменить или добавить серийный номер USB для более удобного управления USB и другими дисками. Есть 2 способа изменить серийный номер USB в Windows 11/10/8/7.

Способ 1. Изменить серийный номер USB путем форматирования

Операционная система случайным образом назначит вашему USB-устройству строку цифр в качестве серийного номера при форматировании. Таким образом, мы можем отформатировать ваш USB-накопитель, чтобы изменить серийный номер USB

✍Предупреждение. Если на вашем USB-накопителе есть важные файлы, вы можете воспользоваться методом 2 или сначала создать резервную копию USB-накопителя, поскольку этот метод необходимо отформатировать на USB-накопителе.

Шаг 1. Дважды щелкните значок ПК, затем щелкните правой кнопкой мыши USB-накопитель и выберите «Форматировать».

Шаг 2. Информация о USB будет показана во всплывающем окне, затем нажмите «Пуск».

<р>3. Откройте командную строку и выполните команду: dir [буква диска:] еще раз, и вы обнаружите, что серийный номер USB был изменен, отличный от указанного выше.

Способ 2. Изменить серийный номер USB без форматирования

Форматирование USB-накопителя приведет к удалению всех данных на USB-накопителе. Серийный номер можно поменять без форматирования? Да, оно может. Вы можете обратиться к устройству смены серийного номера USB — AOMEI Partition Assistant Professional. С помощью этого инструмента вы можете очень быстро и просто изменить серийный номер USB без форматирования. Давайте посмотрим на конкретные шаги.

Шаг 1. Вставьте USB-накопитель в компьютер и запустите AOMEI Partition Assistant Professional. Щелкните USB-накопитель правой кнопкой мыши и выберите «Дополнительно» > «Изменить серийный номер».

Шаг 2. В этом окне вы можете установить новый серийный номер USB, например 123456.

Шаг 3. Затем нажмите «Применить», чтобы выполнить операцию.

Заключение

Вот как изменить серийный номер USB-накопителя двумя разными способами в Windows. Как видите, AOMEI Partition Assistant может помочь вам изменить серийный номер USB за 3 простых шага без потери данных. Кроме того, вы можете использовать этот редактор серийных номеров для изменения других накопителей, таких как SD, HDD, SSD на компьютере. И он совместим с Windows 11/10/8/8.1/7, Windows Vista и XP.

Более того, AOMEI Partition Assistant — это больше, чем серийный номер USB. Он имеет множество полезных функций, которые помогут вам управлять диском, например, преобразование загрузочного диска из MBR в GPT, восстановление раздела на USB-накопителе, безопасное стирание SSD.

Если система вашего компьютера — Windows Server, вы можете использовать AOMEI Partition Assistant Server Edition для выполнения операции по изменению серийного номера USB.

Примечания к цифровой криминалистике. Инструменты и хитрости для Windows, Mac и Linux.

Понедельник, 23 апреля 2012 г.

Серийные номера USB-накопителей — «УНИКАЛЬНЫЕ»?

Отформатированные флэш-накопители USB (например, флэш-накопители и т. д.) имеют серийные номера томов, генерируемые при создании новой файловой системы. Алгоритм зависит от файловой системы и ОС. Серийный номер тома можно легко изменить с помощью шестнадцатеричного редактора по адресу:

FAT 12/16 — 4 байта по смещению 0x027
FAT 32 — 4 байта по смещению 0x043
NTFS — 8 байт по смещению 0x48

или с помощью множества бесплатных инструментов, которые можно найти в Интернете. Серийные номера томов важны с точки зрения криминалистических расследований, и на эту тему написано много хороших материалов. Наиболее известные, на мой взгляд, написаны Крейгом Уилсоном, Робом Ли и Харланом Карви.

В отличие от серийных номеров устройств, идентификатор тома фиксируется всеми инструментами криминалистической обработки изображений. Однако серийные номера устройств считаются экспертами-криминалистами более надежными и «уникальными» артефактами. В Windows есть несколько мест, где записываются/регистрируются серийные номера устройств. Ключ реестра USBStor и файлы журнала Windows: Setupapi.log в Windows XP или Setupapi.dev.log в Vista и более поздних версиях являются наиболее очевидными. Также общеизвестен тот факт, что когда у USB-накопителя нет серийного номера, система присваивает устройству собственный номер со знаком амперсанда в качестве второго символа этого серийного номера.


Вопрос в том, насколько "УНИКАЛЬНЫ" эти серийные номера устройств?
Ну, как оказалось, эти номера не обязательно должны быть уникальными. Этому может быть несколько причин.

<р>1. Существует инструмент PB DownForce, который геймеры используют для подделки серийных номеров устройств. Он способен временно изменить серийный номер устройства. Серийный номер можно изменить на случайный или заданный серийный номер.

Это не обманет (см. рисунок ниже) такие инструменты, как USBDeview, но программное обеспечение, которое использует операционную систему для получения серийного номера, попадется на эту удочку.

<р>2. Серийные номера USB-накопителей должны содержать не менее 12 допустимых символов, представленных в виде строки UNICODE. «Последние 12 цифр серийного номера должны быть уникальными для каждой пары USB idVendor и idProduct» в соответствии с документом Класса запоминающих устройств универсальной последовательной шины.

Действительные символы серийного номера

Числовой ASCII
от 0030h до 0039h от "0" до "9"
от 0041h до 0046h от "A" до "F

Эти требования не были приняты в качестве обязательного стандарта, и многие производители используют более короткие и во многих случаях идентичные номера на своих более дешевых дисках.

<р>3. Крупные лейблы используют «уникальные» серийные номера, особенно на USB-устройствах более высокого класса с большей емкостью. Тем не менее, некоторые повторно используют серийные номера каждые 6 миллионов раз, как в случае с одним из популярных производителей USB-накопителей, с которым мне приходилось иметь дело.

<р>4. Устройства могут быть ПОДДЕЛЬНЫМИ. На eBay есть множество поддельных «флеш-накопителей USB ложной емкости», в том числе подделки известных брендов, таких как Kingston на 16 ГБ, Sandisk на 32 ГБ и т. д. Серийные номера на этих устройствах могут быть простыми, идентичными или генерироваться случайным образом.

<р>5. Пользователь может изменить серийный номер устройства случайно или намеренно. Существует множество инструментов, в основном используемых для исправления неисправных USB-накопителей, способных изменить серийный номер устройства. На веб-сайте FixFakeFlash Inspectortech можно узнать больше о поддельных USB-устройствах и инструментах, способных изменять многие параметры USB-устройства, включая серийный номер, возможность создавать, шифровать, скрывать или защищать от записи определенные области на устройстве.

Вышеупомянутые инструменты предназначены для работы с различными контроллерами USB-накопителей, и вы, конечно же, должны иметь правильный контроллер, чтобы иметь возможность перепрограммировать устройство.

Имена контроллеров памяти могут быть закодированы в оригинальном (установленном на заводе) серийном номере. Например, некоторые устройства Kingston на 13-й позиции серийного номера имеют буквы A, B, E, C или F:

Серийный номер USB-устройства Kingston DataTraveler 200: 001A92053B6ABB4131340023

A – SkyMedi
B или E – Phison
C или F – SSS

• Алькор
• Амеко (MXTronics)
• Чипсбанк
• Создать iCreate
• ИТ-технологии
• Нетак
• ОТИ
• Фисон
• Плодовитый
• РАМОС
• Скаймеди
• СМИ (кремниевое движение)
• SSS (твердотельная система)

Он отображает модель чипа, производителя, номер версии, VID/PID, скорость интерфейса, протокол, серийный номер и информацию о типе носителя.

Наконец, в отличие от серийных номеров томов, большинство инструментов криминалистической визуализации не фиксируют серийный номер устройства. Единственным исключением из этого правила, которое я знаю, являются визуализаторы Tableau. Как оборудование (дупликаторы TD1 и TD2), так и программное обеспечение (TIM, также известное как Высокопроизводительный программный имидж-сканер Tableau) автоматически включают серийный номер устройства в журнал сбора данных (но не в само изображение).

Говоря об устройствах Tableau, новое поколение дубликаторов TD TD2 выглядит очень привлекательно. Моя команда довольно широко использовала TD1. Новая версия «может дополнительно включать подозрительный диск USB, SCSI и SAS», и что еще более интересно, так это возможность изображения 1: 2 или, как Tableau назвала это поддержкой «Twinning». Согласно спецификациям, он также поддерживает формат EnCase v7 .ex01 (зашифрованный AES). Я определенно собираюсь заказать один из них в ближайшее время.

Читайте также:

  
• Лучшие 32-дюймовые мониторы 2021 года
  
• Полка для клавиатуры не выдвигается
  
• Skater xl как играть на клавиатуре
  
• Как убрать ограничение нажатия кнопок на клавиатуре
  
• Почему жидкокристаллический монитор имеет низкий уровень электромагнитного излучения