[FTK] 윈도우 레지스트리 아티팩츠 분석 (12) - USB장치

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 ContainerID와 USB 장치 연결에 관한 여러가지 아티팩츠에 대한 설명을 이어 갑니다. 화이팅 하세요.

 

Operating System Display

ContainerID는 운영체제에서도 확인할 수 있습니다.

 

 

USB Date/Time Last Inserted

디바이스 연결정보는 DeviceClasses 서브 키의 Last Written Time 으로 확인 가능합니다.

포렌식적으로 관심을 가질 만한 데이터는 다음 2가지 입니다.

 

53f56307-b6bf-11d0-94f2-00a0c91efb8b

Disk Class Identifier 입니다

아래와 같이 3 부분으로 나뉘어 집니다.

- Disk and Ven #

- Drive Identifier

- DeviceClasses GUID

 

53f5630d-b6bf-11d0-94f2-00a0c91efb8b

Volume Class Identifier 입니다.

MountedDevices의 값과 동일합니다.

동일한 USB 라도 서로 다른 컴퓨터에 연결할 경우, 서로 다른 GUID가 생성됩니다.

부팅할 때, 장치의 연결상태를 갱신하므로 USB 관련 시간정보는 USB를 끼우는 시각이 아니라, 부팅시 USB가 연결되었음을 보여주는 것으로 이해할 필요가 있습니다.

 

 

USB Date/Time First Inserted

USB 디바이스를 처음으로 윈도우 시스템에 연결하면 레지스트리 뿐만 아니라, 아래의 로그파일에도 그 설치 흔적이 남게 됩니다.

C:\Windows\inf\setupapi.dev.log

 

 

USB User

어떤 장치를 연결한 사람이 누구인지 특정 가능합니다.

NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoint2\<GUID>

MountPoint2의 GUID는 MountedDevices 서브키의 GUID와 같아야 합니다.

Drive Identifier가 확인 되는 곳은

- USBSTOR 키

- MountedDevices 키

- Windows 7 Manage Utility

 

 

MountPoint2의 서브키의 Last Written Time은 로그온한 사용자가 마지막으로 장치를 연결한 시각으로 보아야 합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)