怎麼透過系統日誌查看u盤的拔出時間

透過系統日誌查看u碟的拔出時間的方法：先開啟控制台並找到電腦管理，往系統裡面加入環境變數【devmgr_shownonpresent_devices】，值為1；然後開啟電腦管理，把可移動儲存相關的刪除；最後查看u盤的拔出時間。

1.開啟控制面板->管理工具->電腦管理，

2.在系統裡面新增環境變數devmgr_shownonpresent_devices，值為1。

3.執行裝置管理員，開啟查看隱藏裝置。展開磁碟機、儲存磁碟區兩處，把和U盤有關的Kill掉。

4.開啟電腦管理，把可移動儲存相關的刪除。

5.刪除1中加入的系統環境變數。

6.到此為止，現在有可能還不能全部刪除註冊表中的usb使用記錄，在HKEY_LOCAL_MACHINE\

SYSTEM\ControlSet002\Enum \USBSTOR中仍可能會有使用記錄，然後開啟強大的regedt3。

7.工具，找到該項，修改權限，然後刪除子項。另外。 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB中的某些和USB Storage Mass裝置相關的也要刪除。

8.清除登錄機碼的USB使用記錄，

1、按開始--〉運行，在輸入框裡輸入指令：regedit，

2、刪除註冊表中以下目錄的USBSTOR子項目。

（1）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR
（2）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR
（3）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\USBSTOR
（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

9.刪除上述USBSTOR子項後，一般保密檢查軟體就不能檢查了。

10.如果需要徹底清除USB使用記錄，完成上述操作後，可以接著如下的操作流程：

1、刪除如下USB子項下除ROOT_HUB、ROOT_HUB20外的所有記錄。

（1）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB
（2）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB
（3）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\USB
（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB

11.權限操作與上述操作一致。

2、刪除DeviceClasses下的a5d...、53f...等含usb字眼的部分子項。

（1）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
（2）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
（3）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
（4）HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}\##?#USBSTOR#Disk&Ven_Alcor&Prod_Flash_Disk&Rev_8.07#2624BFBB&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

其他操作與上一個步驟相同。

以上是怎麼透過系統日誌查看u盤的拔出時間的詳細內容。更多資訊請關注PHP中文網其他相關文章！