[EnCase] USB 메모리 연결 흔적 분석 (3)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 USB 메모리 연결 흔적 분석 마지막 시간입니다. 모두 화이팅하세요.!!!

 

HKLM\System\MountedDevices

시스템 레벨에서 볼륨 마운트 포인트의 위치를 저장한 것 입니다.

볼륨을 접근할 때 사용한 볼륨 식별자와 볼륨 마운트 포인트에 대한 정보를 제공합니다.

드라이브 문자 엔트리는 다른 볼륨에 의해 재사용되어지는 경우가 매우 많음에 주의해야 합니다.

MountedDevices 에는 볼륨 식별자(GUID)가 기록되긴 하지만, ‘키’가 아니라 ‘값’으로 존재하기 때문에 마지막 수정날짜가 표시 되지 않습니다.

다행히 MountPoints2 키에서 위 볼륨 식별자가 ‘키’ 형식으로 존재하므로 마지막 수정날짜를 확인 가능합니다.

 

MountPoints2

위치 : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

USB 이동식 저장장치의 사용자가 누구인지 특정하기에 매우 유용한 정보입니다.

만약 USB 장치가 연결되어 있을 때 그 시스템에 한 사람 이상의 사용자가 로그인 되어 있었다면, 각 사용자의 MountPoint2 레지스트리 키는 그 장치의 각각의 볼륨에 대한 엔트리로 채워집니다.

 

 

VSS(VSC Service)로 캡쳐된 이동식 USB 디스크 정보

VSC 에서 관련 레지스트리를 복원하면 최초 연결 시점에서 마지막 연결 시점 사이의 연결관계를 확인 가능합니다.

VSC 에서 과거에 생성되었던 SYSTEM 레지스트리 하이브를 복원합니다.

VSC를 로컬 드라이브로 마운트 하고, VSS Examiner EnScript 모듈의 Conditions 기능을 이용하여 SYSTEM 하이브만 선별하여 복원합니다.

결과 확인은 Console 창에서 합니다.

 

 

분석 착안사항

MountedDevices 에서 찾고자 하는 드라이브 문자명이 있는지 확인하고, 만약에 있다면 해당 드라이브 문자가 어떤 USB에 할당 된 것인지 확인 가능합니다.

USB 메모리와 드라이브 문자가 매핑 되었다면, 사용자 프로필 아래의 최근 접근 문서 폴더(Recent)에서 Link 파일을 대상으로 분석하여 원래의 경로가 위 드라이브 문자를 포함하고 있는지 분석합니다.

바로가기 링크 파일은 USB 메모리로, 또는 USB 메모리로부터 파일이 복사되었음을 확인하는데 유용한 데이터입니다.

왜냐하면 사용자들은 보통 복사하기 전에 원본 장치에서 해당 파일을 열어보고, 복사한 후에는 목적지 장치에서 파일을 열어 재확인 하는 경향이 있기 때문입니다.

 

 

USB 메모리의 연결과 관련된 레지스트리 엔트리의 삭제 여부

사용자가 USB 관련 레지스트리 엔트리를 쉽게 삭제 할 수 없습니다.

 

 

 

 

 

감사합니다. 오늘을 끝으로 약 7개월간의 EnCase를 이용한 윈도우 포렌식 연재는 마칩니다. EnCase의 활용도가 예전만 못하지만 아직도 디지털 포렌식계에서는 클래식한 품격을 유지하고 있고 여전히 많이 사용되고 있다고 봅니다. 앞으로도 더욱 EnCase와 함께 디지털 포렌식 기술이 발전하였으면 하는 바램입니다.

 

오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics