下载链接：https://download-hdw.oss-cn-beijing.aliyuncs.com/Tools/USB-Forensic-Tracker-v112.zip

USB取证跟踪器（USBFT）是一种全面的取证工具，可从实时系统内的一系列位置、安装的取证图像、卷影副本、提取的Windows系统文件以及提取的Mac OSX和Linux系统文件中提取USB设备连接伪影。从每个位置提取的信息显示在其自己的表视图中。信息可以导出到Excel文件。

USBFT现在能够执行以下操作：

装载法医图像和卷影副本。

显示有关以前安装的TrueCrypt和VeraCrypt卷的信息。

显示有关从USB设备访问的文件的信息，并将文件链接到特定的USB设备。

USBFT从以下位置提取信息：

Windows

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

HKEY_LOCAL_MACHINE\SYSTEM\已安装设备

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM

HKEY_USERS\SID\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

HKEY_LOCAL_MACHINE\软件\Microsoft\Windows NT\CurrentVersion\ProfileList

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows便携式设备

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search\VolumeInfoCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt

C： \Windows\System32\winevt\Logs\Microsoft Windows DriverFrameworks UserMode%4操作。evtx（Windows 7）

C： \Windows\System32\winevt\Logs\Microsoft Windows存储类PnP/操作。evtx公司

C： \Windows\System32\winevt\Logs\Microsoft Windows WPD MTPClassDriver/Operational.evtx

C： \Windows\System32\winevt\Logs\Microsoft Windows分区%4诊断.evtx

C： \Windows\System32\winevt\Logs\Microsoft Windows Ntfs%4Operational.evtx

C： \Windows\INF\setupapi.dev.log

C： \Windows\INF\setupapi.dev.yyyymmdd_hhmmss.log

C： \Windows\setupapi.log

“Windows.old”文件夹

卷影副本

C： \Users\<user account>\AppData\Roaming\Microsoft\Windows\Recent\<Lnk files>

Mac OSX（在OSX 10.6.8和10.10.3上测试）

/私有/var/log/kernel.log

/私有/var/log/kernel.log.incrementalnumber.bz2

/私有/var/log/system.log

/私有/var/log/system.log.incrementalnumber.gz

Linux（在Ubuntu 17.04上测试）

/var/log/syslog

要求

USBFT要求在系统上安装Net Framework 4.5。

下载中包括32位和64位版本的USB取证跟踪器。如果在64位计算机上运行32位版本，USBFT将不会显示事件日志工件或HKEY_LOCAL_machine\SOFTWARE\Microsoft\Windows便携设备的结果。