这将完全取决于您启用的日志记录。事件发生后很容易告诉您记录所有文件副本等，但如果您不记录它，您将无法检索该信息。

首先，尝试从以下位置获取有关插入计算机的设备的信息

C:\Windows\inf\setupapi.dev

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR 
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB

检查已安装设备密钥时要特别注意，因为在未来的分析中将需要此信息

分析与该特定用户相关的 NTUSER.DAT 文件。转到 NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 并搜索设备的 GUID。

模块二：

如果您使用 Encase 或 FTK 搜索关键字（相关文件的名称），请分析与关键字关联的 .lnk 文件。使用 FTK 或 Encase 解析 .lnk，这将为您提供路径和时间戳。如果路径指向 USB，则尝试匹配用户的 SID、USB 序列号和时间戳信息。

您甚至可以分析 MFT 记录和 $Logfile，它们为您提供有关文件结构的更多信息。

注意：只有嫌疑人从 USB 驱动器打开有问题的文件时，才会创建 .lnk 文件。

2013 年 9 月 21 日更新

如果您仍在研究这个问题，或者想回到它，那么您可能有兴趣收听Cyber​​Speak 播客，了解一位法医调查员/公司的研究。我建议你听整集，但如果你想抽查它的相关性，那么我认为在 22:00/23:00 左右他们会说一些与你的努力相关的点。

该工具名为Registry Recon，是一个商业工具，我不能保证它，因为我自己还没有使用它。后果自负；但是，我会在发行说明中指出要点声明。

“[..] 报告 USB 存储设备（查看它们何时连接！）和 RecentDocs”

关于原始帖子的澄清

我已经完全按照原样保留了原始帖子，但我想说我从来没有打算抨击任何商业产品，也无意宣传我自己或我碰巧提到的任何第三方产品。

我不为我的幽默感道歉，但我为我冒犯任何人的可能性感到遗憾。你对我的看法并不重要；相反，尊重这个论坛的文化和风度对我来说很重要。我确实尊重这里的社区，因此我道歉。

再次感谢@Gilles的评论。

原帖

我查看了一个名为“Spector 360”的商业产品，它正在谈论这个确切的场景。正如您可能想象的那样，它需要在每台受监控的计算机上安装代理。老实说，我对代理对系统性能的影响并不满意。启用审计/日志记录也会对系统性能产生影响。几乎任何可用于解决您所描述的场景的解决方案都可以预料到这一点。

在遇到 Spector 360 之前，我知道有一个远程管理工具 (RAT)，它在一定程度上被犯罪分子使用。创建它的公司是合法的，不一定对犯罪行为负责；我的观点是，有很多 RAT/Spyware/Monitoring 应用程序将提供完成您想要的功能所需的功能。但是，无论编写应用程序的公司多么合法，您都应该期望安装在这些系统上的 AV 会产生摩擦。它们都有可能被恶意使用。

至于法医寻找证据……也许吧，但那是一个很长的机会。我真的不会指望它。如果系统条件正确，就会产生工件。这些工件也会根据系统条件、使用情况和事件发生后的时间而受到侵蚀。

您是想确定是否有一些文件被盗，还是只是想知道？如果是后者，那么您真的应该将注意力转向日志记录/审计解决方案。如果您的手是被迫的，您应该在他们分发/交付文件之前杀死您怀疑窃取文件的人。将他们的生活空间和周围区域埋在地上可以更加保证任何被盗数据都被销毁。

当然，我最后的建议是非法的，我只是在开玩笑说实际上执行了如此激烈的措施。如果您认为您遇到了安全漏洞并想与某人讨论，您可以联系我，我会尽可能地帮助您。