Windows应急响应之USB设备日志分析指南<\/h1>

1. SetupAPI.dev日志分析<\/h2>

1.1 日志位置与作用<\/h3>
路径：C:\Windows\INF\setupapi.dev.log<\/code><\/li>
作用：记录系统上加载的驱动程序和设备相关事件，可用于BadUSB排查和驱动后门排查<\/li>
<\/ul>
1.2 日志级别设置<\/h3>
注册表键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\LogLevel<\/code><\/p>
默认值0x20004001<\/code>含义：<\/p>

0x20000000<\/code>：写入每个条目后不将日志刷新到磁盘（提高速度但可能丢失数据）<\/li>
0x00004000<\/code>：在详细模式下记录错误、警告和其他信息（设备日志记录级别）<\/li>
0x00000001<\/code>：关闭设备安装日志记录（常规日志记录级别）<\/li>
<\/ul>
1.3 日志事件类别<\/h3>
注册表键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Setup\LogMask<\/code><\/p>
事件类别及对应值：<\/p>

dvi:<\/code> 设备安装 (TXTLOG_DEVINST) - 0x00000001<\/li>
inf:<\/code> 管理INF文件 (TXTLOG_INF) - 0x00000002<\/li>
flq:<\/code> 管理文件队列 (TXTLOG_FILEQ) - 0x00000004<\/li>
cpy:<\/code> 复制文件 (TXTLOG_COPYFILES) - 0x00000008<\/li>
reg:<\/code> 管理注册表设置 (TXTLOG_REGISTRY) - 0x00000010<\/li>
sig:<\/code> 验证数字签名 (TXTLOG_SIGVERIF) - 0x00000020<\/li>
prp:<\/code> 管理设备和驱动程序属性 (TXTLOG_PROPERTIES) - 0x00000040<\/li>
bak:<\/code> 备份数据 (TXTLOG_BACKUP) - 0x00000080<\/li>
ui :<\/code> 管理用户界面对话框 (TXTLOG_UI) - 0x00000100<\/li>
ndv:<\/code> 新建设备管理器 (TXTLOG_NEWDEV) - 0x01000000<\/li>
ump:<\/code> 用户模式PnP管理器 (TXTLOG_UMPNPMGR) - 0x02000000<\/li>
sto:<\/code> 管理驱动程序存储 (TXTLOG_DRIVER_STORE) - 0x04000000<\/li>
cci:<\/code> 类安装程序或合作安装程序操作 (TXTLOG_INSTALLER) - 0x40000000<\/li>
dvs:<\/code> 供应商提供的操作 (推测为Driver Setup) - 无官方文档说明<\/li>
<\/ul>
1.4 USB设备日志分析示例<\/h3>
以SanDisk U盘为例：<\/p>
设备标识符格式：<\/p>
USBSTOR\DISK&VEN__USB&PROD__SANDISK_3.2GEN1&REV_1.00\0501BAxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx6047
<\/code><\/pre>
各字段含义：<\/p>

USBSTOR<\/code>：USB存储类设备<\/li>
DISK<\/code>：子类标识，表示磁盘设备<\/li>
VEN<\/code>：供应商ID（Vendor ID）<\/li>
PROD<\/code>：产品ID（Product ID）<\/li>
REV<\/code>：固件版本号<\/li>
长串字符：设备唯一序列号<\/li>
<\/ul>
驱动安装过程分析：<\/p>


系统尝试更新驱动程序（DIF_UPDATEDRIVER_UI<\/code>）<\/p>
<\/li>

返回错误0xe000020e<\/code>表示无新驱动程序可用<\/p>
<\/li>

系统搜索硬件ID进行匹配：<\/p>
usbstor\disk_usb_____sandisk_3.2gen11.00
usbstor\disk_usb_____sandisk_3.2gen1
usbstor\disk_usb____
usbstor\_usb_____sandisk_3.2gen11
_usb_____sandisk_3.2gen11
usbstor\gendisk
gendisk
<\/code><\/pre>
<\/li>

匹配到通用磁盘驱动：<\/p>

硬件ID：GenDisk<\/code><\/li>
INF文件：C:\WINDOWS\System32\DriverStore\FileRepository\disk.inf_amd64_d110994be2d911c1\disk.inf<\/code><\/li>
设备描述：磁盘驱动器<\/li>
签名来源：INBOX<\/code>（Windows内置驱动）<\/li>
驱动版本：10.0.22621.4391<\/code><\/li>
<\/ul>
<\/li>

设备类GUID更改为：{4d36e967-e325-11ce-bfc1-08002be10318}<\/code>（磁盘驱动器类）<\/p>
<\/li>
<\/ol>
1.5 VID和PID解析<\/h3>
设备标识符中的VID_xxxx<\/code>和PID_xxxx<\/code>：<\/p>

VID<\/code>：供应商代码（4位十六进制）<\/li>
PID<\/code>：产品代码（4位十六进制）<\/li>
<\/ul>
示例：USB\VID_0781&PID_5591\<\/code><\/p>

VID_0781<\/code>：供应商代码，可查询对应厂商<\/li>
PID_5591<\/code>：产品代码，供应商分配<\/li>
<\/ul>
2. Kernel-PnP日志分析<\/h2>
2.1 Configuration日志<\/h3>
主要事件ID：<\/p>

400<\/code>：已配置设备<\/li>
410<\/code>：已启动设备<\/li>
411<\/code>：设备在启动时出现问题<\/li>
420<\/code>：已删除设备<\/li>
421<\/code>：无法删除设备<\/li>
430<\/code>：设备需要进一步安装<\/li>
<\/ul>
2.2 Driver Watchdog日志<\/h3>
记录驱动设备启动过程时间过长的信息，包括：<\/p>

线程ID<\/li>
设备信息<\/li>
服务信息<\/li>
<\/ul>
3. DeviceSetupManager日志<\/h2>
3.1 日志文件<\/h3>

Microsoft-Windows-DeviceSetupManager%4Operational.evtx<\/code><\/li>
Microsoft-Windows-DeviceSetupManager%4Admin.evtx<\/code><\/li>
<\/ul>
3.2 关键字段<\/h3>

Prop_DeviceName<\/code>：设备名称（如"LEGION M500"）<\/li>
Prop_TaskCount<\/code>：设备安装\/配置过程中的任务总数<\/li>
Prop_ContainerId<\/code>：设备UUID（可能因接口变化而变化，不唯一）<\/li>
<\/ul>
注意：同一设备的ContainerId<\/code>可能变化，需结合设备名、VID、PID等综合判断。<\/p>
4. Amcache日志分析<\/h2>
4.1 日志位置<\/h3>
C:\Windows\appcompat\Programs\Amcache.hve<\/code><\/p>
4.2 解析方法<\/h3>
使用工具AmcacheParser.exe<\/code>：<\/p>
AmcacheParser.exe -f "C:\Windows\appcompat\Programs\Amcache.hve" --csv result
<\/code><\/pre>
4.3 记录内容<\/h3>
包含设备驱动的详细信息：<\/p>

驱动ID<\/li>
硬件ID<\/li>
厂商名<\/li>
设备型号<\/li>
驱动目录<\/li>
版本号等<\/li>
<\/ul>
5. 综合分析建议<\/h2>

多日志关联分析<\/strong>：将SetupAPI日志与Kernel-PnP、DeviceSetupManager日志交叉验证<\/li>
时间线分析<\/strong>：关注设备插入、驱动加载的时间序列<\/li>
异常驱动检测<\/strong>：

非Windows内置驱动（非INBOX签名）<\/li>
异常硬件ID<\/li>
非常规驱动加载路径<\/li>
<\/ul>
<\/li>
设备唯一性判断<\/strong>：结合VID\/PID、序列号、设备名等多因素识别<\/li>
工具辅助<\/strong>：

使用usbdetective.com<\/code>社区版解析USB设备信息<\/li>
使用AmcacheParser<\/code>解析Amcache日志<\/li>
<\/ul>
<\/li>
<\/ol>
通过综合分析这些日志，可以有效追踪USB设备使用记录，识别可疑设备或恶意驱动加载行为。<\/p>
Windows应急响应之USB设备日志分析指南<\/h1>

1. SetupAPI.dev日志分析<\/h2>

2. Kernel-PnP日志分析<\/h2>

3. DeviceSetupManager日志<\/h2>

4.1 日志位置<\/h3> C:\Windows\appcompat\Programs\Amcache.hve<\/code><\/p>

4.1 日志位置<\/h3>
`C:\Windows\appcompat\Programs\Amcache.hve<\/code><\/p>`
