USB软只读靠谱吗？

电子取证中，为了防止检材污染，工作时中进行写保护是非常必要的。司法部《关于印发<司法鉴定机构仪器设备配置标准>的通知》（司发通[2011]323号）规定电子数据鉴定中只读接口是必备设备，录音资料鉴定中只读接口是选配设备。

不过在紧急情况下，“软只读”可以发挥一定的作用。软只读指的是通过软件的方式禁止向目标设备写入数据。从Windows XP SP2开始，通过修改注册表中的键值达到禁止向USB设备写入数据的目的。具体起作用的为注册表“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies”的“WriteProtect”的键值，键值为“0”则USB设备为读写状态，键值为“1”则USB设备为只读状态。网上的一些USB写保护小工具（例如USB WriteProtector），基本都是基于这一原理。

下图是使用Process Monitor检测USB写保护工具USB WriteProtector设置写保护这一过程的所有操作，由于篇幅所限，这里只截取了具体的操作详情。

但同时，我发现这工具运行的时候貌似有些“不老实”，过一段时间就多C盘中某个文件进行操作。暂时不知其原因。

其实，我们完全可以自己设置。下面是具体方法。

设置只读：在记事本中粘贴下列内容，保存为“DisableUSBWrite.reg”（注意不要保存成了“DisableUSBWrite.txt”），其实文件名无所谓，但后缀一定要为“reg”。双击保存的文件，即可导入注册表。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies]
"WriteProtect"=dword:00000001

同理，取消只读只需在记事本中粘贴下列内容并保存成“EnableUSBWrite.reg”并双击导入即可。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies]
"WriteProtect"=dword:00000000

上面两段内容保存后图标如下，如果不是，很可能格式保存错了

双击导入的时候会出现下图所示的提示，直接点“是”就可以了。

设置完后，接上优盘，在优盘中空白处右击，会发现熟悉的“新建”菜单不见了。

当试图从其他位置复制文件到优盘中时，会有写保护提示。

就连对优盘进行重命名都会报错。

演示完了，说几点需要注意的地方。

1.注册表设置后，仅对之后接入的设备有效，例如之前是只读状态，连接着一个优盘，设置读写后，此优盘依然只只读的，重新拔插一次才能恢复对此设备的读写。

2.除了对优盘、移动硬盘等“移动设备”有效，对SATA转USB的硬盘依然有效。

3.一般情况下，设置USB只读或USB读写后，重启后之前的设定依然有效，但是偶尔遇到“不一般的情况”，之前的设定有可能有效可能无效。

下面来解释一下上面的第三条。注册表“HKEY_LOCAL_MACHINESYSTEM”下面一般会有名为“CurrentControlSet”、“ControlSet001”、“ControlSet002”的子目录，这些地方保存着一些系统配置信息。其中“CurrentControlSet”是当前的配置信息，一般与“ControlSet001”内容一致，“ControlSet002”是每次成功启动电脑后从“ControlSet001”中复制的备份，也就是Windows系统启动时按F8进入安全模式看到的“最后一次正确配置”。一般情况下，开机后“CurrentControlSet”都是从“ControlSet001”复制数据，由于某种原因，如果系统启动的时候不是从“CurrentControlSet”数据不是从“ControlSet001”复制的，就有可能造成上次设置失效。

注册表“HKEY_LOCAL_MACHINESYSTEMSelect”中记录了当前（Current）、下次（Default）、最后一次正确（LastKnowGood）的配置。