USB forensic

최근들어 이동식 디스크 즉, USB의 사용이 많아지고 있다. 또한 앞으로도 늘어날 것 같은? 느낌이 들고 이를 악성코드 유포 또는 자료 유포 등으로 많이 이용 되고 있다. 

과연 usb는 어떻게 인식이 되고 어떻게 사용될까?

먼저 usb를 꽂았을 때 Bus Driver라는 곳에서 PnP Manager에게 제조사와 device의 일련 번호를 보내어 연결이 되었음을 알린다.

그 후 커널모드 PnP Manager는 레지스트리를 기반으로 드라이버가 설치되어있는지를 확인한다.

만약 설치가 되어 있지 않다면 커널모드 PnP Manager는 유저모드 PnP Manager에게 드라이버의 관련 상항을 전달 한다. 

설치가 되어 있다면 드라이버를 로드한다.

위의 과정을 마치면 레지스트리에 기록을하고 설치과정을 SetupAPI 로그에 기록한다.

이후 완료되면 USB장치를 마운트하고 정보를 레지스트리에 기록한다.

setupAPI.log

C:\Windows\inf 경로에 위치 하여있으며 USB 연결과 최초 연결 시간을 알 수 있다.

event log

Windows7이후로 많은 로그가 생겼는데 그 중 DriverFrameworks-UserMode이벤트 로그는 장치들으 드라이버가 로드된 이벤트를 기록한다.

경로는 Microsoft-Windows-DriverFrameworks-UserMode

레지스트리

USBSTOR

시스템에 연결된 USB 디바이스와 관련해 제조사, 제품명, 시리얼 번호, 연결시간 등을 알수 있다.

경로는 HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR

HKLM=HKEY_LOCAL_MACHINE

WpdBusEnumRoot

볼륨의 이름 또는 사용되었던 문자 확인

경로는 HKLM\SYSTEM\CurrentControlSet\Enum\WpdBusEnumRoot\UMB

Windows Protable Devices

문자확인

경로는 HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Device

Mounted Devices

디스크 시그니처 확인

경로는 HKLM\SYSTEM\MountedDevices

참조 : http://mr-zero.tistory.com/103