[FTK] 윈도우 레지스트리 아티팩츠 분석 (11) -USB 장치

안녕하세요. 도깬리 포렌식스 입니다.

몹시 흐린 아침입니다. 오늘 부터는 윈도우 레지스트리 중에서도 USB 연결 흔적과 관련된 아티팩츠에 대한 설명을 이어갑니다. 모두 화이팅하세요.

 

Mounted Devices Manager

시스템에 연결된 저장장치를 식별하는 용도로 활용됩니다.

SYSTEM\MountedDevices

2가지 종류의 Links로 나뉘어 집니다.

 

DosDevices Number

Symbolic Link Volatile storage

특정장치에 할당된 현재의 드라이브 문자를 표시합니다.

 

Persistent Number

\\??\Volume<GUID> 형태를 보여 줍니다

Persistent Link Non-Volatile storage

과거에 연결한 디바이스의 흔적으로 판단할 수 있습니다.

기존 매체를 제거하고 새로운 매체를 연결하면 기존 매체에 할당된 드라이브 문자가 새로운 매체에 할당될 수도 있습니다.

 

 

Drive Identification - Mounted Devices Manager

Header

Disk and Ven (vendor) number

Drive Identifier

Disk Class GUID

이것은 추후 디바이스가 마지막으로 연결된 때를 확인할 때 참조할 수 있는 아티팩츠입니다.

 

 

USBSTOR – Drive Identifier

USBSTOR 키와 MountedDevices 키를 연결해 주는 연결자 역할을 합니다.

 

 

Windows 7 - ContainerID

과거  윈도우 XP, Vista 에서는 USB 드라이브 또는 프린터는 특정한 기능을 가진 단일 장치(single devices)로 인식되었습니다.

즉, 각각의 디바이스는 single-instance device 로 시스템에 인식되었던 겁니다.

그러나 printer, FAX, scanners 와 같이 복합기능을 가진 디바이스가 출현함에 따라, Windows 7에서는 이러한 복합기능을 가진 single devices를 식별하기 위해 ContainerID 라는 것을 사용하게 됩니다.

예) 복합기, CD 장치 기능을 하는 USB 메모리

각각의 개별적 기능에 동일한 Container identication이 할당됩니다.

ContainerID는 GUID로 표시됩니다.

SYSTEM\ControSet##\Enum\USBSTOR\<diskandven#><driveidentifier>\ContainerID

제조사의 해당 USB 장치안에 ContainerID 값을 제공하지 않을 경우, Windows가 임의로 값을 생성하여 할당하기도 합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)