通过注册表可追溯USB设备连接历史：首先查看HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR下设备制造商、型号及序列号；再通过DeviceClasses中对应GUID路径的子项名称及LastWriteTime时间戳判断连接时间；最后检查ControlSet001等备份项中的USBSTOR记录，挖掘历史连接信息。

如果您需要追溯电脑上所有USB设备的连接历史，尤其是当系统日志已被覆盖或需要查找长期记录时，Windows注册表会保留详细的硬件接入痕迹。以下是通过注册表查询USB使用历史的方法。

本文运行环境：Dell XPS 13，Windows 11。

一、查看USBSTOR注册表项

Windows系统在首次识别到USB存储设备时，会在注册表中创建一个永久性记录。这些记录即使设备被移除后依然存在，是查找历史连接设备最直接的途径。

1、按下键盘上的 Win + R 组合键，打开“运行”对话框。

2、输入 regedit 并按回车，启动注册表编辑器。如果出现用户账户控制提示，请点击“是”以获取管理员权限。

3、在注册表编辑器地址栏中，粘贴以下完整路径并回车：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR。

4、展开该目录下的所有子文件夹。每个文件夹名称都以“Disk&Ven_”开头，其后的信息包含了设备的制造商（Ven）、产品型号（Prod）和唯一序列号（Ser）。

5、点击任意一个设备子文件夹，在右侧窗格中查找名为 FriendlyName 的键值，其数据通常会显示更易读的设备名称，例如“Kingston DataTraveler 3.0”。

二、解析DeviceClasses中的时间戳

注册表中的DeviceClasses分支不仅记录了设备连接，还存储了精确的时间戳，可以判断设备的首次和最后一次连接时间，这对于追踪特定时间段的活动至关重要。

1、在注册表编辑器中，导航至以下路径：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}。

2、在此GUID路径下，您会看到一系列以“##?#USBSTOR#”开头的子项。每一个子项都对应一个曾经连接过的USB存储设备实例。

3、选中一个子项，观察其名称。名称的末尾部分通常包含一个十六进制的时间戳，但这部分不易直接阅读。

4、展开该子项，找到名为 #InstanceID 的键值，其数据是设备的硬件ID，可用于与USBSTOR项中的记录进行交叉验证。

5、继续展开 \Device Parameters\ 子项，检查是否存在 LastWriteTime 键值。该键值的修改时间即为注册表最后一次更新此设备记录的时间，通常接近于设备的最后连接时间。

三、检查ControlSet备份项

Windows在系统更新或创建还原点时，可能会生成旧的ControlSet配置备份。检查这些备份项可以发现已被当前配置删除或覆盖的USB设备记录。

1、在注册表编辑器中，返回到主路径 HKEY_LOCAL_MACHINE\SYSTEM\。

2、除了 CurrentControlSet 外，检查是否存在 ControlSet001 或 ControlSet002 等条目。

3、依次进入这些备份项的 \Enum\USBSTOR\ 路径。

4、对比不同ControlSet下的USBSTOR内容，查找那些仅存在于旧备份中的设备条目，这可能代表已不再使用的设备或发生在系统重装前的连接记录。