2015년 11월 15일 일요일

(레지스트리) USB 접속 정보 분석

USB가 연결되면, 레지스트리에 ID에 맞는 적절한 드라이버가 설치되어 있는지 확인하고
드라이브가 있으면 로드하고 설치가 안된 경우 PnP관리자 기능에 의해 드라이브를 설치한 뒤 레지스트리에 기록한다.
그리고 마지막으로 이 일련에 과정을 %SystemRoot%\inf\Setupapi.dev.log에 저장한다.
따라서 우리는 레지스트리와 Setupapi 로그를 분석하여 USB 접속 정보 확인이 가능하다. 

 그리고 Live 환경이라면 http://www.nirsoft.net/utils/usb_devices_view.html에서 프로그램을 다운 받아서 쉽게 확인이 가능한다. 하지만 DKWay와 함께 어떻게 이러한 값들이 확인 되는지 알아가는게 중요하겠지? 모든 Tool들은 단지 PC에 조각 조각 기록된 정보를 보기 좋게 출력한 것 뿐이니까...

우선 오늘의 분석은 기본이되는 레지스트리를 통해서 알아 보겠다.

 위치는 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\
아래에 USB와 USBSTOR 이다.

 1. USB는 스마트폰, 마우스 등의 장치 정보를
2. USBSTOR는 외장USB와 같은 저장장치의 연결 정보가 담겨져 있다.

 하지만, 최근 안드로이드폰의 SD메모리는 연결 방법에 따라서 USBSTOR에 정보가 남지 않는다. 따라서 이러한 경우, 링크파일 분석과 레지스트리의 USB 및 EMDMgmt 정보를 조합하여 확인 할 수 있다.
단, EMDMgmt의 경우 OS가 XP이거나 SSD의 경우 남지 않는다.
안드로이드 Gpad를 연결한 모습
일단 USBSTOR의 분석 방법을 살펴보자.

 USBSTOR의 처음 폴더를 살펴보면 아래 Naming 구조를 띈다. 위 캡쳐 화면의 2번째 폴더의 경우 1. Generic 2. External 3. 0108을 확인 할 수 있다.

 [Naming 구조 : VID&PID]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR\Disk&Ven_{Vendor Name}&Prod_{Product Name}&Rev_{Version}

 이 다음으로 조사에서 확인할 사항은 Serial Number이다. 포렌식에서 가장 자주 활용되는 정보로써 연결한 저장장치를 확인하는데 사용된다. 압수물과 Serial Number를 대조하여 
해당 PC에 연결했던 USB가 맞는지 확인이 가능하다. 아래는 Naming 구조이며 위 예를 들어보면 VID&PID 하위 폴더 이름인 LG-F180K-d809500f가 Serial 정보이다. 그리고 뒤에 &0은 USB 포트의 번호이다. USB 포트가 여러개이고 연결 될때마다 드라이브가 설치되는데 이때 &# 위치에 1,2,3 이렇게 넘버링이 된다.

 [Naming 구조 : Serial Number]
HKLM\SYSTEM\ControlSet00#\Enum\USBSTOR\{Device Class ID}\{Serial Number}&#

 Serial 정보까지 확인했으면 이 정보를 가지고 연결되었던 Drive Letter 정보를 확인 할 수 있다. 아래 위치에서 드라이브 할당 값들을 더블 클릭하여 해당 Serial Number를 검색하여야 한다.

 [Naming 구조 : Drive Letter]
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
시리얼 정보 확인 후 MountedDevice에서 검색 수행하여 H: 임을 확인함

 단 드라이브 할당 정보는 최근 연결된 장치 정보만을 저장하고 있음.

 마지막으로, 포렌식을 수행하다 보면 USB에 어떠한 정보를 복사했는지 확인이 필요한 경우가 많다. 이러한 경우, 링크파일을 분석하여 E:\, F:\ 등에서 연결된 폴더 및 파일 정보를 확인하여 외장하드에 자료가 저장되어 있음을 추측할 수 있다. 
하지만 이때, 해당 드라이브에 사용된 저장매체가 무엇인지 구체적으로 확인이 필요할 때가 있는데 이럴때는 레지스트리의 EMDMgmt 정보와 조합하여 확인 가능하다.

 링크파일에는 Volume Serial Number가 포함되어 있어 EMDMgmt에 있는 USB의 Volume Serial Number와 맵핑하여 연결점을 찾을 수 있다.
맵핑할때 주의점은 EMDMgmt의 볼륨 시리얼은 10진수 표현값이며, 링크파일의 볼륨 정보는 16진수있다. 따라서 16진수를 10진수로 변환하여 비교해야 한다. (공학용 계산기 활용)

 [Naming 구조 : Volume Serial Number]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\
_??_USBSTOR#{Device Class ID}#{Unique Instance ID}#{GUID}{Volume Label}_{Volume Serial Number

 볼륨 시리얼 정보는 불행하게도 SSD나 XP에서는 확인 불가하다.
SSD는 삭제 파일의 복구나 로그 기록 면에서 문제가 있어 아직 기업에서 사용을 권장하기에는 포렌식 관점에서 문제가 있어 보인다. 
지금까지는 회사에서 제한하고 있으나 시대가 시대인 만큼 확산이 되기 전에 대응 방안을 강구해야 겠다.  

작성자: 시간:
라벨:

댓글 없음:

댓글 쓰기

피드 구독하기: 댓글 (Atom)