Microsoft -Windows -Partition/ Diagnostic是Windows10新引入的事件日志之一，具体位置一般为“C：\Windows\ System32\ winevt\ Logs\ Microsoft - Windows - Partition\ %4 Diagnostic.evtx”。Matt Graeber在2017年10月指出了此事件日志中包含的一些数据［注1］，Harlan随后进一步做了跟进［注2］，但是并没有太多新的信息，特别是如何在USB设备取证调查中使用这一事件日志。

背景

Windows10引入的Partition/ Diagnostic事件日志，会在USB设备连接或断开连接的时候创建一个ID为1006的事件记录。当使用Windows事件查看器查看时，默认的“常规”视图并没有实际的帮助，但是“详细信息”视图包含很多与连接设备相关的信息。遗憾的是，这个事件日志文件会在Windows重要更新中被清除掉，所以如果最近有大版本更新，则可能该日志文件中没有记录。然而，现存的记录可以提供关于特定设备的大量信息，包括设备标识符、连接时间、断开连接时间、设备卷引导记录（VBR）、设备主引导记录（MBR）等。

图 1 ID为1006的事件中包含的设备信息

设备卷引导记录

Partition/ Diagnostic事件日志中ID为1006的记录中有一区域记录有连接系统的设备的卷引导记录（VBR），此设备包括该设备的整个VBR的十六进制内容。这在USB取证中很重要，因为VBR包含很多信息，例如卷序列号。另外，如果设备文件系统为FAT，则VBR中还包含卷标信息。

正如大家所知道的，LNK文件和跳转列表（Jump List）中都包含有卷序列号（VSN），而VSN可以反映一个特定的设备，所以非常关键。注册表Hive SOFTWARE的EMDMgmt子键可能包含连接设备的VSN，但这个子健在有些情况下并未生成，例如当Windows检测到接入的是一个固态硬盘。由于SSD的普及，EMDMgmt子健的用处正在下降。好消息是，尽管EMDMgmt子键越来越少见，但我们依然可以从Partition/Diagnostic 事件日志中获取到卷序列号。

图 2 ID为1006的事件中的卷序列号

通过将VBR0字段(见图2所示)的值保存到一个新文件中，我们可以使用任何能够解析原始VBR的十六进制编辑器或工具来从VBR中获取VSN、卷标及其他有用信息。另一个选择是直接使用USB设备取证工具来处理所有这些信息的提取及解析。

在Partition/ Diagnostic事件日志中发现的信息本身是有用的，但是当与其他与USB相关的数据(如其他事件日志、注册表组和setupapi日志)相关联时，它会变得更加强大。除了设备卷引导记录之外，还有其他一些有用的信息可以从Partition/ Diagnostic 事件日志中获取。

注1: https://twitter.com/mattifestation/status/916338889840721920
注2: http://windowsir.blogspot.com/2017/10/stuff.html

说明

本文翻译自Digital Forensics Stream博客，作者JASON HALE，原题为“USB Device Tracking using the Partition/ Diagnostic Event Log”，略有删改，原文地址https://df-stream.com/2018/05/partition-diagnostic-event-log-and-usb-device-tracking-p1/

截至2018年5月，市面上绝大多数取证设备仍不支持解析本文提到的USB痕迹。另一方面，USB使用痕迹遍布注册表、系统日志、事件日志，从XP到Vista到7，到8，再到10，每次Windows的大版本升级，都引入了新的位置保存，更多的USB取证知识，还需要取证调查人员不断学习，使用不同的工具对比。

本文2018年5月30日发布在微信公众号“取证杂谈”。

电子取证中，为了防止检材污染，工作时中进行写保护是非常必要的。司法部《关于印发<司法鉴定机构仪器设备配置标准>的通知》（司发通[2011]323号）规定电子数据鉴定中只读接口是必备设备，录音资料鉴定中只读接口是选配设备。

不过在紧急情况下，“软只读”可以发挥一定的作用。软只读指的是通过软件的方式禁止向目标设备写入数据。从Windows XP SP2开始，通过修改注册表中的键值达到禁止向USB设备写入数据的目的。具体起作用的为注册表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies”的“WriteProtect”的键值，键值为“0”则USB设备为读写状态，键值为“1”则USB设备为只读状态。网上的一些USB写保护小工具（例如USB WriteProtector），基本都是基于这一原理。

下图是使用Process Monitor检测USB写保护工具USB WriteProtector设置写保护这一过程的所有操作，由于篇幅所限，这里只截取了具体的操作详情。

但同时，我发现这工具运行的时候貌似有些“不老实”，过一段时间就多C盘中某个文件进行操作。暂时不知其原因。

其实，我们完全可以自己设置。下面是具体方法。

设置只读：在记事本中粘贴下列内容，保存为“DisableUSBWrite.reg”（注意不要保存成了“DisableUSBWrite.txt”），其实文件名无所谓，但后缀一定要为“reg”。双击保存的文件，即可导入注册表。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

同理，取消只读只需在记事本中粘贴下列内容并保存成“EnableUSBWrite.reg”并双击导入即可。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000000

上面两段内容保存后图标如下，如果不是，很可能格式保存错了

双击导入的时候会出现下图所示的提示，直接点“是”就可以了。

设置完后，接上优盘，在优盘中空白处右击，会发现熟悉的“新建”菜单不见了。

当试图从其他位置复制文件到优盘中时，会有写保护提示。

就连对优盘进行重命名都会报错。

演示完了，说几点需要注意的地方。

1.注册表设置后，仅对之后接入的设备有效，例如之前是只读状态，连接着一个优盘，设置读写后，此优盘依然只只读的，重新拔插一次才能恢复对此设备的读写。

2.除了对优盘、移动硬盘等“移动设备”有效，对SATA转USB的硬盘依然有效。

3.一般情况下，设置USB只读或USB读写后，重启后之前的设定依然有效，但是偶尔遇到“不一般的情况”，之前的设定有可能有效可能无效。

下面来解释一下上面的第三条。注册表“HKEY_LOCAL_MACHINE\SYSTEM\”下面一般会有名为“CurrentControlSet”、“ControlSet001”、“ControlSet002”的子目录，这些地方保存着一些系统配置信息。其中“CurrentControlSet”是当前的配置信息，一般与“ControlSet001”内容一致，“ControlSet002”是每次成功启动电脑后从“ControlSet001”中复制的备份，也就是Windows系统启动时按F8进入安全模式看到的“最后一次正确配置”。一般情况下，开机后“CurrentControlSet”都是从“ControlSet001”复制数据，由于某种原因，如果系统启动的时候不是从“CurrentControlSet”数据不是从“ControlSet001”复制的，就有可能造成上次设置失效。

注册表“HKEY_LOCAL_MACHINE\SYSTEM\Select”中记录了当前（Current）、下次（Default）、最后一次正确（LastKnowGood）的配置。