1. 이벤트로그확인
C:\Windows\System32\winevt\Logs\System.evtx
2. 레지스트리확인
추출 : C:\Windows\System32\config\RegBack\SYSTEM
추출 : C:\Windows\System32\config\SYSTEM
HKEY_LOCAL_MACHINE\System\Controlset002\Control\Class\{...ID...}\00XX
{...ID...}의 Class가 USB인 것을 찾는다. 키를 설정한 시간으로 최종으로 꽂은 시간을 확인할 수 있다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Portable Devices\Devices\.........#UMB#..&... ... VEN_제조사이름&하드웨어이름...
AppCompatCache확인(64비트 PC의 경우)
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\AppCompatCache 에서
AppCompatCache 내용을 확인한다.
사용자가 실행한 프로세스 확인
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
이 파일은 계정 아래에 있는 NTUSER.dat 파일 안에 기록되어 있다.
UserAssistView를 다운받아서 보면 잘 보인다.
3. setupapi.dev.log 파일확인
최초 USB 꽂으면 사용한 흔적이 남는다.
%SystemRoot%\inf\Setupapi.dev.log
'보안 > 포렌식' 카테고리의 다른 글
| 외장 저장장치 포렌식 (0) | 2016.12.09 |
|---|---|
| 이미지 파일을 VMWare에서 부팅하기 (0) | 2016.11.03 |
| 볼라틸리티 (Volatility) -메모리 포렌식 (0) | 2016.08.28 |
| 메모리 포렌식 기초 지식 (0) | 2016.08.28 |
| APT 분석방법 - 디스크 및 패킷 분석 (0) | 2016.06.08 |
