[AXIOM] USB Devices 분석

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 사용자 프로파일 경로와 USB 디바이스에 대한 레지스트리 분석 기법에 대해 알아 보겠습니다. 모두 화이팅하세요!

 

Software Hive

사용자 계정 아티팩츠의 Profile Path는 다음 값을 파싱한 것 입니다.

SOFTWARE\Microsoft\WindwsNT\CurrentVersion\ProfileList\<SID>

ProfileImagPath

삭제된 사용자 계정에 대한 기록이 남아 있을 수 있습니다.

 

USB Devices

사용자가 처음 호스트 시스템에 USB 디바이스를 연결하면, 다음과 같은 메시지가 작업표시줄의 오른쪽 하단에 표시됩니다.

“디바이스 드라이버 소프트웨어를 설치하는 중”

“디바이스 드라이버 소프트웨어가 성공적으로 설치되었습니다”

이런 팝업창은 보통 윈도우 “autoplay” 팝업창으로 이어지고, 그런 다음 USB 디바이스에 대한 드라이브 문자를 보여주며, 새롭게 인식된 드라이버와 상호작용을 원하는지 사용자에게 선택을 하게 합니다.

이러한 과정은 사용자에게는 불과 몇 분 걸리는 것에 불과하지만, 그 ‘몇 분’ 동안 시스템 파일과 레지스트리에 대한 수많은 쓰기작업으로 인하여 조사자에게는 상당한 부담을 안겨 줄 겁니다.

 

 

AXIOM에서는 USB Devices 카테고리에서 분석결과를 보여준다.

이것의 출처가 되는 파일은 다음과 같습니다.

- Software

- System

- setupapi.dev.log

- pagefile.sys

- Windows Events Log

- NTUSER.DAT

- Restore Points

- Volume Shadow Copies

 

분석가능한 정보는 다음과 같습니다.

- USB가 처음으로 연결된 일시

- 윈도우가 필요한 디바이스 드라이버 소프트웨어를 설치한 일시

- 디바이스 이름, 제조사, 디바이스 식별자 등 디바이스 설명에 관한 것

 

AXIOM은 드라이브 문자도 복구할 수 있습니다.

USB 디바이스가 어떻게 대상 시스템에서 이용되었는지 분석 가능합니다.

범행이 있었던 때 용의자가 USB 디바이스를 어떻게 이용하였는지 분석 가능합니다.

 

만약 어떤 사용자가 윈도우 탐색기를 통해 USB 디바이스에 있는 파일에 접근을 하였다면, 관련 아티팩츠는 다음과 같은 위치에서 복원될 가능성이 있습니다.

- 사용자의 최근 사용 폴더 (User’s recent folder)

- 페이지 파일 (pagefile.sys)

- $MFT

- 프리페치 (Prefetch)

- User Assist

- Link files

 

링크 파일은 컴퓨터 시스템에 존재하며, 조사자에게 다음과 같은 정보를 제공합니다.

- USB 디바이스에 할당된 드라이브 문자

- 디바이스에 대한 볼륨 시리얼 넘버(VSN)

VSN을 키워드로 이용하여 검색을 하면, USB 디바이스 카테고리에 매칭되는 결과값이 보여 질 겁니다.

그렇게 하기 위해서, 조사자는 USB 드라이버를 LNK 파일 엔트리와 연결시켜야 합니다.

 

System 레지스트리 안의 MountedDevices, USBSTOR, DeviceClasses 키에 포함된 데이터와, NTUSER.DAT 파일 안의 MountPoint2에서 발견되는 USB class ID, volume GUID 값을 연결지어 USB 디바이스를 사용한 사용자를 특정할 수 있습니다.

System 레지스트리의 USBSTOR 키는 Artifact Information에서 다양한 분석결과를 제공합니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)