관심 세미나 등록

원하시는 세미나를 사전 등록하시면
세미나 오픈시 우선적으로 자동 신청되어 알려드립니다.

* 세미나 개최는 신청자가 많은 순으로 결정됩니다.

입사 지원

인섹시큐리티에서는 신입/경력부문 상시채용과 공개채용 방식을 같이 진행하고 있습니다
제출한 이력서 기반으로 지원자격 심사평가를 진행합니다.

레지스트리 포렌식

디지털 포렌식 수사 기법

Forensic Artifacts

Windows Registry
Registry Artifacts

USB Information

USB 저장장치 인식 절차

    1. 이동형 저장장치가 컴퓨터에 연결되면 Plug & Plug Play Manager가 이벤트 알림신호를 받고 연결된 이동형 저장장치에 장치 정보들을 요청

    2. 이 정보를 바탕으로 PnP Manager는 Device Class ID를 부여하고 적절한 드라이버 검색

    3. 해당 드라이버가 현재 로드되어 있지 않으면 해당 장치의 펌웨어로부터 드라이버를 로드하고 레지스트리에 기록

    - HKLM/SYSTEM\CurrentControlSet\Enum\USBSTOR\{DID,Device Class Identifier}
    - HKLM/SYSTEM\CurrentControlSet\Control\DeviceClasses\{GUID}

    4. 장치 드라이버 설치과정은 로그 파일에 저장 : %SystemRoot%\INF\Setupapi.dev.log

    즉, USB 장치 사용의 흔적은 레지스트리와 로그 파일을 통해 확인 가능

  • - Device Class ID
    -> Vendor 정보, 제품명, Revision number 확인

- HKLM\SYSTEM\ControlSet\Enum\USBSTOR

  • - Unique Instance ID
    -> Device Class ID 하위키로 Serial 정보 여부에 따라 두 가지로 분류

- 마지막 수정시간이 윈도우 보안정책에 의해 임의 갱신 가능성

- HKLM\SYSTEM\ControlSet\Enum\USB
- 제조사 ID 및 제품 ID 정보 확인

- USB키의 하위 키들과 USBSTOR키의 하위 키들의 연관성 확인

  • - 최초 연결 시각 (레지스트리 키의 마지막 쓰기 시간)
    장치명이 설정된 경우 – 장치명을 변경하지 않는다면 최초 연결시간
    장치명이 설정되지 않은 경우 – 연결된 볼륨명이 변경되지 않고 계속 사용되면 최초 연결시간

- HKLM\SOFTWARE\Microsoft\Windows Portable Device\Device
- 제품명 또는 시리얼번호를 포함하는 키

- 키 값 Friendly Name으로 연결된 볼륨명 확인

USB Information

  • - HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{GUID}

  • - 하위키 중 제품명이나 시리얼번호를 포함하는 키

  • - 부팅 이후 최초 연결 시각 (레지스트리 키의 마지막 쓰기 시간)

- HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{GUID}
- {53f56307-b6bf-11d0-94f2-00a0c91efb8b}는 디스크의 GUID

- 빨간글씨 : Device Class Identifier 초록글씨 : Unique Instance ID

- HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{GUID}
- {53f5630d-b6bf-11d0-94f2-00a0c91efb8b}는 볼륨 GUID

- HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{GUID}
- {a5dcbf10-6530-11d2-901f-00c04fb951ed}는 USB GUID

- HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{GUID}
- {6ac27878-a6fa-4155-+ba85-f98f491d4f33}는 Portable 장치 GUID

- HKU\{USER}\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
- 마지막 연결 시각 (레지스트리 키의 마지막 쓰기 시간)

MiTeC Windows Registry Recovery 분석

- 실제 레지스트리 경로를 찾아가 USB 정보 확인

USBDeview 분석

- USBDeview을 활용하여 제조사 ID, 제품 ID, 시리얼 번호, 최초 연결 시각, 연결된 볼륨명 등 정보 확인 가능

- HKLM\SYSTEM\ControlSet00x\Enum\USBSTOR
- Device Class ID를 통해 Vendor, 제품명, Revison number 정보 확인 가능

- HKLM\SYSTEM\ControlSet00x\Enum\USB
- Vendor ID와 Product ID 정보 확인 가능

- HKLM\SOFTWARE\Microsoft\Windows Portable Device\Device
- 제품명과 시리얼 번호 및 연결된 볼륨명 확인 가능

- HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{a5dcbf10-6530-11d2-901f-00c04fb951ed}
- 하위키를 통해 USB 장치 제품명과 시리얼 번호 확인 가능