引子
期末考试刚结束,小高就和宿舍的弟兄们在校门口的小饭馆里狠狠“腐败”了一回,为什么呢?因为就在考试之前的一个课间,小高同学极其麻利地在教授《数据结构》课的曲老师本本几中用自己的U将疑似试题复制到手——当时曲老师到门口抽烟去了。因此,兄弟们的考试过程变得异常顺利,最终的分数也比平时要高出不少,前几名都被弟兄们占了,真是“知已知彼,百战百胜”啊!这天在放假之前,曲老师通知全班同学说有个体积较大的作业需要大家在假期中完成,300多MB,不便于发邮件,因此每位同学务必将自己的U盘上交以复制作业;于是乎,各色贴有自己姓名的30多个U盘从科代表手中送到了曲老师的办公桌上。
东窗事发
上午交完了U盘,下午一上课小高等众弟兄们就被曲老师“请”到了办公室,而且曲老师开门见山地就提到刚刚考完的《数据结构》,怀疑有人将试题小规模泄露。毕竟做贼心虚啊,小高心里马上就打起了小鼓;不过,如果仅仅是从高分数这一点就将兄弟们锁定为嫌疑人的话,未免也太牵强了吧?再加上兄弟们都在,呵呵,绝不能承认!
曲老师似乎胸有成竹,先是将小高的U盘拿出来,问:“是你的吧?”小高心想:我已经将复制的题目删除并且使用别的数据反复擦写了好几次,使用数据恢复软件应该不会奏效,于是坚定地点了点头,也算是给自己打气。曲老师说:“你还真别不服气,没有证据我是不会找你们的,特别是你——小高同学。来来,看这个。”说着,曲老师打开自己的本本儿(Win7系统),运行“开始”-“命令提示符”,接着输入了一行命令——reg query Hklm\System\CurrentControlSet\Enum\Usbstor/s。小高知道,“reg query”命令是Windows控制台注册表查询命令,后面跟的“Hklm\System\CurrentControlSet\Enum\Usbstor”参数是查询的路径,最前面的HKLM代表HKEY_LOCAL_MACHINE;也就是说,该命令的作用是在命令行中查询“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR”的内容,不必进入注册表编辑器(“/s”的意思是查询所有的子项和值)。
曲老师回车之后,很快就有了许多返回结果,让小高等一班弟兄们眼花缭乱。不过,随着曲老师拖动滚动条最终将鼠标定位于其中的一处“FriendlyName”时,小高心里更慌了,因为他非常清楚地看到后面有"Teclast CoolFlash USB Device”的字样,这不正是自己的“台电科技酷闪”么?果然,曲老师又将小高的U盘一晃,反问道:“牌子还对号吧?”此时大家都已经明白了八九分,小高只能将“替罪羊”扛到底了;不过,他还是不承认:“老师,全班不会只有我一人用‘台电酷闪’吧?您不能因为我们这次分数提高幅度大就怀疑……”“就知道你会这么说”,曲老师打断了小高,“你再仔细看看。”小高仔细看了下曲老师用鼠标指点的窗口上方“Class GUID”处,后面显示的是“(4d36e965-e325-llce-bfcl-08002be10318)”。虽然小高明白刚才的“FriendlyName”处显示的值代表曾经插入该电脑的U盘“牌子”,但对于这样一个毫无规律可言的字符串,小高可真搞不懂了。难道,难道会是象征自己U盘的身份证的ID号?
![_`}EV9M`N`D$BHH59]2LF32.jpg](https://www.weixianmanbu.com/zb_users/upload/2017/04/201704191492581287551584.jpg)
还真让小高猜着了,这个值就是传说中的“设备范例ID”,又称“装置列项识别码”,是固定且具有惟一性。接下来,曲老师将小高的“台电酷闪”U盘插入本本儿的USB口,然后打开“计算机”并右击此U盘选择“属性”,在弹出的“属性”窗口中切换到“硬件”选项卡;双击其中的“Teclast CoolFlash USB Device”弹出其“属性”窗口,再切换至“详细信息”选项卡,选择“属性”中的“设备类GUID”,很快下方的“值”处显示出了一串熟悉的字符:“{4d36e965-e325-llce-bfcl-08002be10318}”,跟在命令提示符窗口中读取注册表的值一模一样。
这真叫“铁证如山”了,小高只能选择投降了,诚恳地向曲老师承认错误。曲老师批评了小高几句,弟兄们也都唯唯诺诺地听着,态度非常好。小高非常佩服曲老师,说:“曲老师,您记命令也太厉害了吧,像一开始在命令提示符下输入的那条长命令,可不是一般人能做到的啊。”曲老师微微一笑:“呵呵,那也是我从危险漫步博客上学到的;不过还真别说,我这儿有另外一个小工具同样能达到目的。”说着,曲老师打开并运行了一个叫作“UsbViewer.exe”的绿色小软件,其实从名字上就能看出它的作用--USB移动存储设备使用记录查看器。作为UsbLog.exe的增强版,图形化界面的UsbViewer使用非常简单,只须点击第一个“查看痕迹”按钮即可快速显示出“reg query”命令查询注册表的信息,而且分门别类显得非常条理。的确,小高的“台电酷闪”以及对应的“ClassGUID”仍然是“榜上有名”。当然,UsbViewer还提供了将查询的结果保存生成文本文件的功能——点击“生成报告”按钮即可。
后记
返回宿舍后,小高左思右想了一番,总觉得这“尾巴”露得也太明显了,是不是可以采取点措施呢?比如将“ClassGUID”记录删除不就行了?但,从哪儿删除呢?对啊,既然“reg query”命令和UsbViewer工具都是读取系统的注册表,只要将对应的项删除就行了啊!至于是哪个项,其实在曲老师输入的命令中已经有了,就是“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR”!好家伙,这儿记录得非常全,以前兄弟们在该电脑上使用过U盘和3G上网卡的“脚印”都在呢!自己的“台电酷闪”对应的是“CdRom&Ven Teclast&Prod_CoolFlash&Rev_0.00”,其下的“0000000000003F&1”项中就有个“ClassGUID”,其真正是“{4d36e965-e325-llce-bfcl-08002be10318}”,呵呵,如果当初在复制完曲老师的试题之后能再多走一步,进入注册表编辑器后删除该项,不就没“尾巴”了么?学艺不精,真该打!不过,就当是“吃一堑,长一智”吧,教训就是这样变成经验的。
以上故事纯属虚构,目的为大家轻松理解学习技术。