[Forensics] Windows Registry - USB 연결 흔적

윈도우 운영체제의 경우 USB를 연결할 시 레지스트리에 기록이 남는다.

HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note

Registry - USB Conncetion Log Serial

위 사진과 같이 연결한 장치의 시리얼 번호를 통해서 어떤 USB가 연결되었는지 확인할 수 있다.

일련 번호를 찾은 다음 FriendlyName을 찾아 USB 장치의 볼륨 이름을 가져올 수 있다.

---

이건 SSD가 아닐 경우에만 적용되는 경로이다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt

 

• 시스템 드라이브가 SSD가 아닌 경우에만 키가 존재한다.
• 전통적으로 ReadyBoost에 가용된다.
• USB장치의 볼륨 일련번호를 얻으려면 일련번호를 찾고
• 볼륨 일련 번호는 십진수로 표시된다.
• 16진수로 변화해서 봐야 볼륨 일련번호를 얻을 수 있다.
• 장치를 여러 번 포맷했더라도 여기에서 볼륨 일련번호의 전체 기록을 찾을 수 있다.
• USB 장치의 일련번호는 각각 다른 볼륨 일련 번호가 각 형식에 생성되어 여러 번 나타난다.

---

HKLM\SYSTEM\MountedDevices

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

USB 장치의 드라이브 문자를 얻으면 일련 번호가 부여가 된다.

USB 장치의 불륨 GUID를 얻으려면 일련번호를 통해서 찾을 수 있다.

---

Live System ( 라이브 시스템 상에서의 USB 연결 흔적)

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR (Class ID/Serial Number)
HKLM\SYSTEM\CurrentControlSet\Enum\USB (VID/PID)
HKLM\SYSTEM\CurrentControlSet\Control\DeviceContainers*

reg query HKLM\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM\ /s /f FriendlyName
reg query HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\ /s /f FriendlyName
reg query HKLM\SYSTEM\CurrentControlSet\Enum\USB\ /s /f FriendlyName
reg query HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\
reg query HKLM\SYSTEM\CurrentControlSet\Enum\USB\
reg query HKLM\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM\
reg query HKLM\SYSTEM\CurrentControlSet\Control\DeviceContainers\ /s /f "USB"

위 명령어들을 통해서 CMD에서 USB 연결 흔적을 가져올 수 있다.

---

reg query HKLM\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM\ /s /f FriendlyName

이 명령어를 통해서 USB에 저장되어있던 일련번호와 USB 볼륨 명을 알 수 있다.

---

 

reg query HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\ /s /f FriendlyName

이 명령어를 통해서 USB의 제조명을 알 수 있다.

---

reg query HKLM\SYSTEM\CurrentControlSet\Enum\USB\ /s /f FriendlyName

이 명령어를 통해서 연결되었던 다른 매체의 기록을 알 수 있다.

필자의 경우 Apple iPhone이라던지, Webcam, Bluetooth 등의 일련번호와 정보를 얻을 수 있다.

---

reg query HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\

이 명령어를 통해서 연결되었던 대용량 저장 장치를 파악할 수 있다.

---

reg query HKLM\SYSTEM\CurrentControlSet\Enum\USB\

---

reg query HKLM\SYSTEM\CurrentControlSet\Enum\SWD\WPDBUSENUM\

---

reg query HKLM\SYSTEM\CurrentControlSet\Control\DeviceContainers\ /s /f "USB"

---

이렇게 다양한 레지스트리에서 USB 연결 흔적을 찾을 수 있다.

이렇다고 하는데 이것에 대한 정보는 자세히 알아봐야 할 필요가 있을 것 같다.

위 내용의 정보는 추후에 따로 올리겠습니다.

 

추가적인 문의나 오탈자는 pental@kakao.com 을 통해서 메일로 보내주시면 감사하겠습니다.