[Digital Forensic] USB 연결 흔적 확인

- 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다
https://isc9511.tistory.com/182

* USB 연결 흔적 확인 Artifact
- USB 연결 시, Windows 시스템 내 로깅되는 Artifact는 상당히 다양하다.
- 그 중, 일부 파일과 Registry에 대해 소개하며 해당 정보들은 타 도구를 사용하며 같이 확인하게 되는 경우도 있으니 경로와 내부 정보에 대해 암기하고 있으면 빠르게 확인할 수 있다.

 

 

 

* SetupAPILogging 파일

Setupapi.dev.log 파일

경로	\Windows\INF\Setupapi.dev.log.txt
확인 가능 정보	- 연결 됐던 USB Volume 명 - Serial Number - Volume GUID - Product ID - 최초 연결 시간 - 마지막 연결 해제 시간 - 저장 매체를 사용한 사용자의 계정 정보 등

- 해당 파일은 사실상 USB 연결 정보에 대한 총 집합체인 파일이다.
- 증거 분석 시, 포렌식 툴에서 해당 경로의 파일을 추출하여 확인하는 부분도 정보 확인에 유용하다.
- 단, 총 집합체인 만큼 정말 오만가지 정보가 기록되어 있어서 가독성은 정말 떨어지는 편이다.
- 대신 해당 파일은 특정 정보들 앞에 접두사로 특정 단어들이 작성되어 있는 경우가 많으니, 규칙성을 확인해서 필요한 정보만 확인하거나, 다른 Artifact에서 확인한 정보를 크로스 체크하는 등으로 이용할 수 있다.

 

 

 

* USBSTOR Registry

파일 경로	\Windows\System32\Config\System
레지스트리 경로	(HKLM)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Enum\USBSTOR
확인 가능 정보	* 해당 시스템에서 사용중이거나, 사용했던 USB 장치 정보 확인 가능 - Ven(Vendor Name) - Prod(Product Name) - Rev(Version) - Unique Instance ID

- USBSTOR은 간편하게 디바이스 정보를 식별하기 편하며, 위 UIID(Unique Instance ID)를 Setupapi.dev.log.txt에서 검색 시, 더 상세한 정보를 확인할 수 있음

 

 

* USB Registry

파일 경로	\Windows\System32\Config\System
레지스트리 경로	(HKLM)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Enum\USB
확인 가능 정보	* USB STOR에서 확인한 UIID와 매칭 시, 제조사 ID(VID)와 제품 ID(PID) 확인 가능 - VID - PID

- 해당 레지스트리 정보는 USBSTOR과 경로도 동일하기 때문에 확인이 어렵지도 않다.
- 단, USBSTOR에서 UIID를 미리 확인해야, USB 레지스트리로 추가 정보에 대한 확인이 가능하다.
(정보를 유의미하게 보려면 그 순서로 봐야 확인이 가능하다)

 

 

 

* Windows Portable Devices Registry

파일 경로	\Windows\System32\Config\System
레지스트리 경로	(HKLM)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices\Devices
확인 가능 정보	* 연결했던 USB의 Volume 이름 정보

- 마찬가지로, UIID가 해당 레지스트리 Key 이름 내에 포함이 되어 있기 때문에 USBSTOR을 확인한 후, 체크하는 것이 좋다.

 

 

* 포렌식 Tool 에서 일부 정보 확인
- 굳이 일일히 레지스트리 경로를 뒤져서 내부 정보를 확인하는게 번거로운건 사실이다.
- 그래서 포렌식 툴에서 일부 정보에 대한 확인도 가능하다
(단, 그 부분에서 많은 정보를 건질 수 없기 때문에 SAM 파일 등의 Hive 파일을 가져와서 REGA 등, 툴에 업로드 후 상세히 파악하는 편이다)

Autopsy에서 확인한 연결됬던 USB 참조 정보.