안녕하세요. 도깬리 포렌식스 입니다.
오늘은 USB 메모리 연결 흔적에 대한 분석기법을 알아 보겠습니다. 데이터 절취 또는 기술 유출 등의 사건에서 주요 분석 항목에 포함되는 아티팩트(Artifacts)라고 할 수 있습니다. 오랜만에 비가 멎고 아침 햇살을 보게 되었네요. 오늘도 화이팅 하세요.
이동형 USB 메모리 장치와 관련된 범죄 유형
- 데이터 절도
- 불법 어플리케이션
- 불법 데이터 저장
- 암호화된 데이터 저장
- 바이러스 배포
- 신원정보 절도
- 어플리케이션 임의 실행
USB 장치의 구조
USB 장치는 USB-IF (USB Implementers’ Forum)라는 비영리 기관의 규격에 따라 제작됩니다.
USB 장치의 Device Descriptor의 구조
| Offset | Field | Size | Value | Description |
| 0 | bLength | 1 | Number | Size of the descriptor in bytes |
| 1 | bDescriptorType | 1 | Constant | Device Descriptor |
| 2 | bcdUSB | 2 | Binary coded decimal | USB specification number |
| 4 | bDeviceClass | 1 | Class | Class Code |
| 5 | bDeviceSubClass | 1 | Sub-class | Subclass code |
| 6 | bDeviceProtocol | 1 | Protocol | Protocol code |
| 7 | bMaxPacketSize | 1 | Number | Maximum packet size for end point |
| 8 | idVendor | 2 | ID | Vendor ID (usb.org가 관리함) |
| 10 | idProduct | 2 | ID | Product ID (제조사에 의해 지정됨) |
| 12 | bcdDevice | 2 | Binary coded decimal | Device release number |
| 14 | iManufacturer | 1 | Index | Index of manufacturer string descriptor (필수 정보는 아니다) |
| 15 | iProduct | 1 | Index | Index of product string descriptor (필수 정보는 아니다) |
| 16 | iSerialNumber | 1 | Index | Index of serial number string descriptor (필수 정보는 아니다) * 특정 USB가 특정한 컴퓨터에 연결된 적이 있는지 분석할 때, 특이 이 정보가 중요 * iSerialNumber가 다를 때 다음의 사항을 고려해야 - VID, PID, iSerialNumber 값은 하나의 고유한 장치를 표시해야 - 오래되거나 값싼 USB 장치에는 이 정보가 없을 수도 있음 - iSerialNumber 값이 없다면, Windows는 두번째 숫자 자리에 & 기호를 넣어 이 값을 임의로 생성할 것임 |
| 17 | bNumConfiguration | 1 | Integer | Number of possible configurations |
USB 장치의 Device Descriptor 분석
특정 컴퓨터와 연결시켜 주는 ‘열쇠’ 역할을 합니다.
윈도우 운영체제는 시스템에 연결될 USB Device Descriptor에서 상당한 양의 정보를 읽어 저장해 둡니다.
USB Device Descriptor 정보의 위치
하드웨어에 내장되어 있을 수도 있고, 업데이트가 가능한 펌웨어 형식으로 저장되어 있을 수도 있습니다.
Microsoft USB Device Viewer
Microsoft Windows Driver Development Kit에 포함되어 있습니다.
USB 장치의 디버깅을 위해 설계된 것입니다.
Windows 시스템에 기록된 USB 장치 정보
착안사항은 다음과 같습니다.
- 특정한 USB가 특정한 컴퓨터에 연결되었는가?
- 언제 연결되었는가?
- USB 장치로 무엇이 복사 되었는가?
- USB 장치에서부터 무엇이 복사 되었는가?
- USB 장치에서부터 무엇이 직접 접근되었는가?
장치 설정 파일 (Setupapi.dev.log)
Window XP에서는 Setupapi.log였습니다.
장치의 설치와 삭제 사항을 기록한 것입니다.
위치 : C:\Windows\Inf
윈도우 이벤트 로그
이동식 USB 장치의 설치는 기본적으로 윈도우 이벤트 로그(System event)에도 기록을 남깁니다.
System.evtx를 내보내기 한 후, 이를 Event viewer의 ‘저장된 로그’에 들여온 후, 찾기 기능을 이용하여 iSerialNumber 값을 찾는 방법으로 조사합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Advanced Forensics
'EnCase' 카테고리의 다른 글
| [EnCase] USB 메모리 연결 흔적 분석 (3) (0) | 2022.08.16 |
|---|---|
| [EnCase] USB 메모리 연결 흔적 분석 (2) (0) | 2022.08.14 |
| [EnCase] 윈도우 검색 흔적(Windows Search) 분석 (2) (0) | 2022.08.09 |
| [EnCase] 윈도우 검색 흔적(Windows Search) 분석 (1) (0) | 2022.08.07 |
| [EnCase] Zip 파일 복구 (2) (0) | 2022.08.05 |