안녕하세요. 도깬리 포렌식스 입니다.
오늘은 USB 저장장치에 대한 윈도우 레지스트리 아티팩츠 마지막 시간 입니다. 모두 화이팅하세요.
External HDD
외장하드 드라이브(External USB hard disk drives)는 일반적인 USB thumb drive와는 다른 방식으로 식별됩니다.
외장하드는 일반적으로 MountedDevices에서 4바이트의 identifier에 의해 식별 됩니다.
이 식별자는 해당 드라이브의 MBR의 오프셋 440~443에 fixed HDD와 동일한 방식으로 저장되어 있습니다.
Drive identifier의 저장 위치
외장하드의 경우
MBR의 Offset 440 ~ 443에 위치
USB 메모리의 경우
USB 메모리의 Firmware 안에 위치
Volume Name – SOFTWARE File
볼륨명과 시리얼 넘버는 어떤 시스템에 연결된 장치를 식별하는데 효과적입니다.
윈도우 Vista 이후로, 마이크로소프트는 이동식 저장매체를 SOFTWARE 레지스트리에 있는 다음의 서브키로 식별하기 시작하였습니다.
HKLM\Software\Microsoft\Windows Portable Devices\Devices
Disk and Vender 정보, Drive identifier, FriendlyName 정보를 포함합니다.
FriendlyName은 해당 디바이스의 최종 Volume Name과 드라이브 문자일 것입니다.
WPD – EMD Tracking Behavior
Windows Portable Devices (WPD) 서브키는 오직 한번만 기록됩니다.
최종 볼륨명과 드라이브 문자만 확인 가능합니다.
반면, EMDMgmt 키셋은 해당 장치의 각각의 변경 이력이 모두 기록됩니다.
볼륨명과 드라이브 문자의 변경이력이 확인됩니다.
볼륨명이 없는 경우에는 비어 있을 것입니다.
SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] 윈도우 이벤트 로그 분석 (2) (0) | 2022.10.13 |
|---|---|
| [FTK] 윈도우 이벤트 로그 분석 (1) (0) | 2022.10.11 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (12) - USB장치 (0) | 2022.10.06 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (11) -USB 장치 (0) | 2022.10.04 |
| [FTK] 윈도우 레지스트리 아티팩츠 분석 (10) (0) | 2022.09.30 |