안녕하세요. 도깬리 포렌식스 입니다.
오늘은 USB 메모리 연결 흔적 두번째 시간입니다. 모두 화이팅하세요!!
윈도우 레지스트리 데이터를 이용한 분석
HKLM 시스템 레지스트리 데이터
MountedDevices Registry 키의 ControlSet 폴더에 포함된 중요 정보들은 다음과 같습니다.
- Enum\STORAGE
- Enum\USB
- Enum\USBSTOR
- Enum\WpdBusEnumRoot
- Control\DeviceClasses
Control\DeviceClasses 데이터
각각의 GUID는 장치의 종류를 의미합니다.
53F56307-B6BF-11D0-94F2-00A0C91EFB8B --> Disk
A5DCBF10-6530-11D2-901F-00C04FB951ED --> 허브에 연결된 USB 장치
53F5630D-B6BF-11D0-94F2-00A0C91EFB8B --> Volume
위 각 서브키에는 Setupapi.dev.log 파일에 포함된 디스크의 VID, PID, iSerialNumber 숫자가 포함되어 있습니다.
위 서브키의 마지막으로 쓰여진 날짜(Last written date)는 USB 메모리의 연결시각을 조사할 때 유용합니다.
다만, 윈도우 시스템은 레지스트리 데이터를 주기적으로 업데이트 하는 것으로 알려져 있어, 다소 부정확한 측면이 있습니다.
따라서, USB의 시간 정보는 레지스트리, 윈도우 이벤트 로그, Setupapi.dev.log의 정보를 모두 비교하여 결정하여야 합니다.
Enum\USB, Enum\USBSTOR, Enum\STORAGE 데이터
Enum\USB
VID, PID, iSerialNumber 확인 가능합니다.
Enum\USBSTOR
제조사명(Ven), 제품명(Prod), 버전명(Rev), iSerialNumber 확인 가능합니다.
간혹, 아래와 같이 2개의 서로 다른 장치가 동일한 VID, PID 값을 갖는 경우가 있고, 또한 이들의 마지막으로 쓰여진 날짜도 같은 경우도 있습니다.
이것은 레지스트리 분석을 통한 USB 연결 시각에 대한 조사의 한계를 보여줍니다.
Enum\STORAGE
제조사명(Ven), 제품명(Prod), 버전명(Rev), iSerialNumber, GUID 확인 가능합니다.
Enum\WpdBusEnumRoot
제조사명(Ven), 제품명(Prod), 버전명(Rev), iSerialNumber 확인 가능합니다.
FriendlyName 키 값이 구별됩니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Advanced Forensics
'EnCase' 카테고리의 다른 글
[EnCase] USB 메모리 연결 흔적 분석 (3) (0) | 2022.08.16 |
---|---|
[EnCase] USB 메모리 연결 흔적 분석 (1) (0) | 2022.08.12 |
[EnCase] 윈도우 검색 흔적(Windows Search) 분석 (2) (0) | 2022.08.09 |
[EnCase] 윈도우 검색 흔적(Windows Search) 분석 (1) (0) | 2022.08.07 |
[EnCase] Zip 파일 복구 (2) (0) | 2022.08.05 |