안녕하세요. 도깬리 포렌식스 입니다. 오늘은 USB 메모리 연결 흔적 분석 마지막 시간입니다. 모두 화이팅하세요.!!! HKLM\System\MountedDevices 시스템 레벨에서 볼륨 마운트 포인트의 위치를 저장한 것 입니다. 볼륨을 접근할 때 사용한 볼륨 식별자와 볼륨 마운트 포인트에 대한 정보를 제공합니다. 드라이브 문자 엔트리는 다른 볼륨에 의해 재사용되어지는 경우가 매우 많음에 주의해야 합니다. MountedDevices 에는 볼륨 식별자(GUID)가 기록되긴 하지만, ‘키’가 아니라 ‘값’으로 존재하기 때문에 마지막 수정날짜가 표시 되지 않습니다. 다행히 MountPoints2 키에서 위 볼륨 식별자가 ‘키’ 형식으로 존재하므로 마지막 수정날짜를 확인 가능합니다. MountPoints2 위..
