[아티팩트 뷰어 제작] SetupAPI 로그 공부

Setupapi (장치 및 드라이버 설치 로그)

1. USB 사용 흔적 조사

   

   USB 인식 절차1. 적절한 드라이버가 설치되어 있는지 확인
   2-1. 드라이브가 있으면 로드하고
   2-2. 드라이브 설치가 안된 경우 PnP 관리자 기능에 의해 드라이브를 설치한 뒤 레지스트리에 기록
   3. 일련의 과정을 Setupapi 로그에 저장
   → 그러므로 레지스트리와 Setupapi 로그를 분석하면 USB 사용기록 확인이 가능 

C:\Windows\INF\Setupapi.dev.log

setupapi.dev.log

3.08MB

Setupapi.dev.log 파일에서 볼륨명, 시리얼넘버, 볼륨 GUID, Product ID, 최초 연결 시간, 마지막 연결 해제 시간, 저장매체를 사용한 사용자 계정 정보 등을 확인 가능 - 장치 드라이버 설치 과정

 

HKLM\SYSTEM\ControlSet00X\Enum\USBSTOR\{Device Class ID}

Device Class ID 하위키의 Unique Instance ID 형식을 통해 시리얼 번호, USB뿐 아니라 외장 하드도 확인 가능

• 저가형 중국산 USB Drive들은 Serial 번호가 없는 경우가 있음
  1. PnP Manager는 자동으로 Unique한 Serial 번호를 생성( Instance ID ) 하여 부여
  2. PnP Manager에 의해 설치된 instance ID는 2번째 위치에 &가 들어가있음

 

 

reference

http://www.forensic-artifact.com/windows-forensics/usb

http://www.forensic-artifacts.com/registry-forensics/sub07

http://www.igloosec.co.kr/BLOG_%EC%B9%A8%ED%95%B4%EC%82%AC%EA%B3%A0%EC%9D%98%20%EC%9E%AC%EA%B5%AC%EC%84%B1%20-%20Bees%20are%20attracted%20to%20flowers%20(%ED%95%B4%EA%B2%B0%ED%8E%B8)?searchItem=&searchWord=&bbsCateId=47&gotoPage=3