Проблема:
Определить факт подключения USB-флешки к другому компьютеру, имея только физический доступ к самой флешке (без доступа к тому ПК).

Причины:
При подключении ОС Windows/macOS/Linux создаёт на флешке служебные файлы и метаданные, содержащие следы хоста:
- NTFS: каталог `System Volume Information` (внутри `$UsnJrnl`, `$LogFile`, `$Extend\$ObjId`); альтернативные потоки данных (ADS); `$MFT` с записями File Reference Number, содержащими Volume Serial Number (VSN) создавшей файл системы.
- FAT32/exFAT: отсутствие таких служебных структур, но остаются `thumbs.db` (Windows), `.DS_Store` (macOS), `desktop.ini` с ViewState GUID.
- Метаданные файлов: временные метки (создания, модификации, доступа) могут не совпадать с вашим периодом использования.

Решение (только легальные методы, без взлома):

1. Создайте криминалистическую копию
- Linux: `dd if=/dev/sdX of=image.dd bs=512 conv=noerror,sync` (заменить `/dev/sdX`).
- Windows: FTK Imager → File → Create Disk Image → Logical Drive → (выберите флешку).
- Работайте только с копией, не монтируйте оригинал.

2. Анализ NTFS-артефактов (если флешка в NTFS)
- USN Journal:
Утилита `usnparse` (или `ntfsusnparse` из libyal):
`ntfsusnparse -f image.dd -o report.csv`
Искать записи, где USN больше, чем при последнем вашем подключении, или VSN не соответствует вашей системе.
- $MFT:
`analyzeMFT -f image.dd -o mft.csv`
Проверить временные метки файлов за периоды, когда флешка была вне вашего контроля.
- System Volume Information:
Извлечь `$UsnJrnl:$J` через `ntfsinfo` (SleuthKit) или вручную смонтировать образ и прочитать USN-журнал.

3. Проверка скрытых файлов ОС
- thumbs.db (Windows):
Используйте Thumbs.db Viewer или `strings thumbs.db | grep -E "([a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12})"` для извлечения GUID папок. GUID может быть уникальным для сессии пользователя.
- desktop.ini:
В каждой папке искать `[ViewState]` → `Mode=` и `FolderType=` + GUID. Сопоставить с известными профилями ОС.
- .DS_Store (macOS):
`strings .DS_Store | grep -E "([a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{4}-[a-f0-9]{12})"`
GUID соответствует пользовательскому SID или идентификатору тома.

4. Анализ MBR/GPT для поиска следов переформатирования
- `mmls image.dd` — если таблица разделов изменена, возможны остатки старых файловых систем.

5. Дополнительно (если есть доступ к подозреваемому ПК, соблюдая законодательство):
- Реестр Windows: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR\ — найти серийный номер флешки; временные метки `ContainerID` и параметры `Service`, `HardwareID` укажут на последнее подключение.
- Event Log: `Microsoft-Windows-DriverFrameworks-UserMode/Operational` — EventID 1003 (подключение) и 2003 (отключение) с временными метками.

Вывод:
Прямое доказательство возможна только при анализе реестра/логов целевого ПК. На самой флешке — косвенные улики (USN-записи, GUID, временные метки). Ни один метод не даёт 100% гарантии, но комбинация артефактов делает вердикт высоконадёжным.