EnCase

[EnCase] USB 메모리 연결 흔적 분석 (1)

도깬리 2022. 8. 12. 06:33

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 USB 메모리 연결 흔적에 대한 분석기법을 알아 보겠습니다. 데이터 절취 또는 기술 유출 등의 사건에서 주요 분석 항목에 포함되는 아티팩트(Artifacts)라고 할 수 있습니다. 오랜만에 비가 멎고 아침 햇살을 보게 되었네요. 오늘도 화이팅 하세요.

 

이동형 USB 메모리 장치와 관련된 범죄 유형

- 데이터 절도

- 불법 어플리케이션

- 불법 데이터 저장

- 암호화된 데이터 저장

- 바이러스 배포

- 신원정보 절도

- 어플리케이션 임의 실행

 

USB 장치의 구조

USB 장치는 USB-IF (USB Implementers Forum)라는 비영리 기관의 규격에 따라 제작됩니다.

www.usb.org

 

USB 장치의 Device Descriptor의 구조

 

Offset Field Size Value Description
0 bLength 1 Number Size of the descriptor in bytes
1 bDescriptorType 1 Constant Device Descriptor
2 bcdUSB 2 Binary coded decimal USB specification number
4 bDeviceClass 1 Class Class Code
5 bDeviceSubClass 1 Sub-class Subclass code
6 bDeviceProtocol 1 Protocol Protocol code
7 bMaxPacketSize 1 Number Maximum packet size for end point
8 idVendor 2 ID Vendor ID
(usb.org가 관리함)
10 idProduct 2 ID Product ID
(제조사에 의해 지정됨)
12 bcdDevice 2 Binary coded decimal Device release number
14 iManufacturer 1 Index Index of manufacturer string descriptor
(필수 정보는 아니다)
15 iProduct 1 Index Index of product string descriptor
(필수 정보는 아니다)
16 iSerialNumber 1 Index Index of serial number string descriptor
(필수 정보는 아니다)
* 특정 USB가 특정한 컴퓨터에 연결된 적이 있는지 분석할 때, 특이 이 정보가 중요
* iSerialNumber가 다를 때 다음의 사항을 고려해야
- VID, PID, iSerialNumber 값은 하나의 고유한 장치를 표시해야
- 오래되거나 값싼 USB 장치에는 이 정보가 없을 수도 있음
- iSerialNumber 값이 없다면, Windows는 두번째 숫자 자리에 & 기호를 넣어 이 값을 임의로 생성할 것임
17 bNumConfiguration 1 Integer Number of possible configurations

 

USB 장치의 Device Descriptor 분석

특정 컴퓨터와 연결시켜 주는 열쇠 역할을 합니다.

윈도우 운영체제는 시스템에 연결될 USB Device Descriptor에서 상당한 양의 정보를 읽어 저장해 둡니다.

 

USB Device Descriptor 정보의 위치

하드웨어에 내장되어 있을 수도 있고, 업데이트가 가능한 펌웨어 형식으로 저장되어 있을 수도 있습니다.

 

Microsoft USB Device Viewer

Microsoft Windows Driver Development Kit에 포함되어 있습니다.

USB 장치의 디버깅을 위해 설계된 것입니다.

 

Windows 시스템에 기록된 USB 장치 정보

착안사항은 다음과 같습니다.

- 특정한 USB가 특정한 컴퓨터에 연결되었는가?

- 언제 연결되었는가?

- USB 장치로 무엇이 복사 되었는가?

- USB 장치에서부터 무엇이 복사 되었는가?

- USB 장치에서부터 무엇이 직접 접근되었는가?

 

장치 설정 파일 (Setupapi.dev.log)

Window XP에서는 Setupapi.log였습니다.

장치의 설치와 삭제 사항을 기록한 것입니다.

위치 : C:\Windows\Inf

 

 

윈도우 이벤트 로그

이동식 USB 장치의 설치는 기본적으로 윈도우 이벤트 로그(System event)에도 기록을 남깁니다.

System.evtx를 내보내기 한 후, 이를 Event viewer저장된 로그에 들여온 후, 찾기 기능을 이용하여 iSerialNumber 값을 찾는 방법으로 조사합니다.

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics