[Forensics] Windows Registry - USB 연결 흔적
[Forensics] Windows Registry - USB 연결 흔적
2020.03.26윈도우 운영체제의 경우 USB를 연결할 시 레지스트리에 기록이 남는다. HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices Note 위 사진과 같이 연결한 장치의 시리얼 번호를 통해서 어떤 USB가 연결되었는지 확인할 수 있다. 일련 번호를 찾은 다음 FriendlyName을 찾아 USB 장치의 볼륨 이름을 가져올 수 있다. 이건 SSD가 아닐 경우에만 적용되는 경로이다. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt 시스템 드라이브가 SSD가 아닌 경우에만 키가 존재한다. 전통적으로 ReadyBoost에 가용된다. USB장치의 볼륨 일련번호를 얻으려면 일련번호를 찾고 볼륨 일련 번호는 십진수로 표..