Microsoft -Windows -Partition/ Diagnostic是Windows10新引入的事件日志之一，具体位置一般为“C：Windows System32 winevt Logs Microsoft - Windows - Partition %4 Diagnostic.evtx”。Matt Graeber在2017年10月指出了此事件日志中包含的一些数据［注1］，Harlan随后进一步做了跟进［注2］，但是并没有太多新的信息，特别是如何在USB设备取证调查中使用这一事件日志。

背景

Windows10引入的Partition/ Diagnostic事件日志，会在USB设备连接或断开连接的时候创建一个ID为1006的事件记录。当使用Windows事件查看器查看时，默认的“常规”视图并没有实际的帮助，但是“详细信息”视图包含很多与连接设备相关的信息。遗憾的是，这个事件日志文件会在Windows重要更新中被清除掉，所以如果最近有大版本更新，则可能该日志文件中没有记录。然而，现存的记录可以提供关于特定设备的大量信息，包括设备标识符、连接时间、断开连接时间、设备卷引导记录（VBR）、设备主引导记录（MBR）等。

图 1 ID为1006的事件中包含的设备信息

设备卷引导记录

Partition/ Diagnostic事件日志中ID为1006的记录中有一区域记录有连接系统的设备的卷引导记录（VBR），此设备包括该设备的整个VBR的十六进制内容。这在USB取证中很重要，因为VBR包含很多信息，例如卷序列号。另外，如果设备文件系统为FAT，则VBR中还包含卷标信息。

正如大家所知道的，LNK文件和跳转列表（Jump List）中都包含有卷序列号（VSN），而VSN可以反映一个特定的设备，所以非常关键。注册表Hive SOFTWARE的EMDMgmt子键可能包含连接设备的VSN，但这个子健在有些情况下并未生成，例如当Windows检测到接入的是一个固态硬盘。由于SSD的普及，EMDMgmt子健的用处正在下降。好消息是，尽管EMDMgmt子键越来越少见，但我们依然可以从Partition/Diagnostic 事件日志中获取到卷序列号。

图 2 ID为1006的事件中的卷序列号

通过将VBR0字段(见图2所示)的值保存到一个新文件中，我们可以使用任何能够解析原始VBR的十六进制编辑器或工具来从VBR中获取VSN、卷标及其他有用信息。另一个选择是直接使用USB设备取证工具来处理所有这些信息的提取及解析。

在Partition/ Diagnostic事件日志中发现的信息本身是有用的，但是当与其他与USB相关的数据(如其他事件日志、注册表组和setupapi日志)相关联时，它会变得更加强大。除了设备卷引导记录之外，还有其他一些有用的信息可以从Partition/ Diagnostic 事件日志中获取。

注1: https://twitter.com/mattifestation/status/916338889840721920
注2: http://windowsir.blogspot.com/2017/10/stuff.html

说明

本文翻译自Digital Forensics Stream博客，作者JASON HALE，原题为“USB Device Tracking using the Partition/ Diagnostic Event Log”，略有删改，原文地址https://df-stream.com/2018/05/partition-diagnostic-event-log-and-usb-device-tracking-p1/

截至2018年5月，市面上绝大多数取证设备仍不支持解析本文提到的USB痕迹。另一方面，USB使用痕迹遍布注册表、系统日志、事件日志，从XP到Vista到7，到8，再到10，每次Windows的大版本升级，都引入了新的位置保存，更多的USB取证知识，还需要取证调查人员不断学习，使用不同的工具对比。

本文2018年5月30日发布在微信公众号“取证杂谈”。