Practice Last Connection Time - Last Written time in registry key



 마지막 연결 시간을 확인하기 위하여 직접 USB를 새로 연결해보았다. 그리고 근처 시간의 레지스트리 타임스탬프를 검색해본 결과 위와 같이 USB와 관련된 항목 3가지를 발견할 수가 있었다. 그리고 왼쪽 탭에서와 같이 마지막으로 쓰여진 시간이 일치한 것을 확인할 수가 있다.

 따라서 조사할 PC의 해당 경로에서 해당 타임스탬프를 확인하면 마지막으로 USB를 연결한 시간이 언제인지를 확인할 수가 있을 것이다.


장치 연결 흔적 확인 - 이벤트 로그


USB와 같은 장치를 연결하면 윈도우는 장치로부터 드라이버를 받아 설치하거나 이미 있다면 기존 드라이버를 로드시키고, 연결 해제 시 드라이버를 언로드 시킨다. 이와 같은 드라이버 이벤트는 다음 로그 파일에 기록된다.

  • %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx


Reference

해당 이벤트로그와 관련해서 더 자세하게 설명된 곳 : http://forensic-proof.com/archives/5945

http://mr-zero.tistory.com/103


'Forensic > Theory' 카테고리의 다른 글

Extract $MFT  (0) 2015.10.03
Practice USB Artifacts  (0) 2015.10.01
Project Spartan Forensic - Edge  (0) 2015.09.30
윈도우 아티팩트 요소  (0) 2015.09.28
LNK File ( Windows ShortCut)  (0) 2015.09.27