EnCase

[EnCase] USB 메모리 연결 흔적 분석 (2)

도깬리 2022. 8. 14. 07:07

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 USB 메모리 연결 흔적 두번째 시간입니다. 모두 화이팅하세요!!

 

윈도우 레지스트리 데이터를 이용한 분석

HKLM 시스템 레지스트리 데이터

MountedDevices Registry 키의 ControlSet 폴더에 포함된 중요 정보들은 다음과 같습니다.

- Enum\STORAGE

- Enum\USB

- Enum\USBSTOR

- Enum\WpdBusEnumRoot

- Control\DeviceClasses

 

Control\DeviceClasses 데이터

각각의 GUID는 장치의 종류를 의미합니다.

53F56307-B6BF-11D0-94F2-00A0C91EFB8B --> Disk

A5DCBF10-6530-11D2-901F-00C04FB951ED --> 허브에 연결된 USB 장치

53F5630D-B6BF-11D0-94F2-00A0C91EFB8B --> Volume

 

위 각 서브키에는 Setupapi.dev.log 파일에 포함된 디스크의 VID, PID, iSerialNumber 숫자가 포함되어 있습니다.

위 서브키의 마지막으로 쓰여진 날짜(Last written date)USB 메모리의 연결시각을 조사할 때 유용합니다.

다만, 윈도우 시스템은 레지스트리 데이터를 주기적으로 업데이트 하는 것으로 알려져 있어, 다소 부정확한 측면이 있습니다.

따라서, USB의 시간 정보는 레지스트리, 윈도우 이벤트 로그, Setupapi.dev.log의 정보를 모두 비교하여 결정하여야 합니다.

 

 

Enum\USB, Enum\USBSTOR, Enum\STORAGE 데이터

Enum\USB

VID, PID, iSerialNumber 확인 가능합니다.

 

Enum\USBSTOR

제조사명(Ven), 제품명(Prod), 버전명(Rev), iSerialNumber 확인 가능합니다.

간혹, 아래와 같이 2개의 서로 다른 장치가 동일한 VID, PID 값을 갖는 경우가 있고, 또한 이들의 마지막으로 쓰여진 날짜도 같은 경우도 있습니다.

이것은  레지스트리 분석을 통한 USB 연결 시각에 대한 조사의 한계를 보여줍니다.

 

 

Enum\STORAGE

제조사명(Ven), 제품명(Prod), 버전명(Rev), iSerialNumber, GUID 확인 가능합니다.

 

Enum\WpdBusEnumRoot

제조사명(Ven), 제품명(Prod), 버전명(Rev), iSerialNumber 확인 가능합니다.

FriendlyName 키 값이 구별됩니다.

 

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics