반응형
이벤트로그 분석 - USB 연결흔적 확인
USB 연결사실 확인
- Partition 이벤트로그에서 확인%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Partition%4Diagnostic.evtx
- 이벤트로그 뷰어를 통해 확인
- USB를 낄 때는 BytesPerSector, Capacity, Partitioncount 등 정보가 있으나,
- 뺄 때 로그에는 해당 정보가 없음(Partitioncount=0)
※ 예전 윈도우 버전에서는 DriveFrameworks에서 확인 가능하였으나, 현재는 디폴트가 사용안함
- MMA를 통해 Partition 로그 분석
- USB에 복사한 파일 확인
- 단순히 copy/paste만 한 경우 : USB 연결/해제 사실 외에는 확인 불가
- 일부 파일 열람 또는 윈도우 탐색기 필드 크기 변경 : RecentDoc, LNK, Shellbag에 생성시간 등 정보가 남음
※ 참고 : Registry Shellbag
- 쉘백은 최초로 폴더 열람시 생성
- 폴더를 생성/복사하는 경우에도 생성
- (경로)
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
- HKCU\Software\Microsoft\Windows\Shell\Bags
- HKCU\Software\Microsoft\Windows\Shell\BagMRU
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU
- (참고) BagMRU
- MRUListEX가 있는데, 이는 최근에 열람한 순서 정보를 유지하고 있음
- 레지스트리 BagMRU key 시간에는 최초로 생성(최초 폴더 열람)될 때의 시간이 설정됨
- 폴더 설정 변경 시에는 Bags key 시간이 바뀜
- 현재 폴더 생성에 의해 상위 폴더의 key 시간이 갱신되면, 레지스트리 key 시간이 갱신됨
- 폴더 열람 순서를 MRUListEx value로 관리하기 때문
- -> 현재 폴더의 shellbag 시간은 하위 폴더가 열람됨에 따라 갱신될 수 있음을 의미함
반응형
'Digital Forensics > Windows' 카테고리의 다른 글
| 이벤트로그 분석 - 무선AP 연결 확인 (0) | 2021.01.11 |
|---|---|
| 이벤트로그 분석 - 시스템시간 변경 확인 (0) | 2021.01.11 |
| 이벤트로그 분석도구 (0) | 2021.01.09 |
| 윈도우 이벤트로그(Windows EventLog) (0) | 2021.01.08 |
| Windows 10 레지스트리(Registry) 분석 (0) | 2020.12.31 |
