[N0Named] [B] 유출된 자료 거래 사건[1] 풀이

문제 :  내부 자료가 유출된 상황,  현장 증거 자료인 USB의 흔적(USB 제조회사, USB 볼륨레이블)을 찾자.

 

USB 외장하드를 연결하면 여러 가지 흔적이 남게 된다. 자세한 과정은 나중에 따로 정리할 예정이지만 간략하게 설명하면 드라이버 설치 흔적, 마운트 흔적 그리고 연결 해제 흔적 등 "여러 흔적"이 레지스트리의 "여러 곳"에 남게 된다.

아래의 경우는 레지스트리의 USBStor 키 항목을 이용하여 사건을 해결하였다.

- 사건 파일: 윈도우 레지스트리와 USBStor
텍사스 오스틴의 조그만한 도시, 아동 포르노 사건외장하드에 아동 포르노 발견 -> 노트북 시스템의 레지스트리 USBStor 키 항목 발견

출처: 
https://ssol2-jjanghacker.tistory.com/entry/이제-시작이야-디지털-포렌식-Chapter-5-윈도우-시스템에서의-증거-수집
 [ssoL2 TISTORY]

 

나는 구해야하는 USB 회사와 볼륨 레이블(USB이름)을 동시에 찾기 위해서 다음 레지스트리 하이브를 볼 것이다.

-> HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices\{Device Entry}

 

레지스트리의 정보는 디스크가 아닌 메모리에 존재하기 때문에 휘발성이다. 그래서 hive file이라는 물리적인 파일에 저장하며 관리는데, 하이브(hive)는 키 값들이 논리적인 구조로 저장하고 있다. 바로 HKLM(HKEY_LOCAL_MACHINE)이 키 중 하나이며 \Windows\System32\config 주소에 하위 하이브 파일로 구성된다.

 

따라서 레지스트리의 하이브 파일정보를 보기 위해 config 파일로 가서 SOFTWARE 하이브 파일을 export하자.

 

 

레지스트리 하이브 파일을 분석하기 위해 REGA를 다운 받았다.

 http://forensic.korea.ac.kr/tools.html

 

USB 정보를 얻기 위해 위에서 언급했던 레지스트리 경로로 갑시다.

(HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices\{Device Entry})

 

HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices\{Device Entry}

=> Devices 폴더에 접근하니 Device Entry 2개가 존재한다.

이 Device Entry는 장치 클래스 ID를 포함하고 있으며, 펌웨어로부터 받은 장치의 제조사명, 상품명, 버전 등을 포함한다.

따라서 Device Entry 뒷부분에 #DISK&Ven_ㅇㅇㅇ&PROD_ㅇㅇㅇ&REV_ㅇㅇㅇ가 있는데 Vendor name은 제조사명, PROD는 제품명 그리고 REV는 버전에 해당한다.

 

또한, 해당 Device Entry 경로에 존재하는 FriendlyName 키은 볼륨 레이블에 해당한다.

 

이렇게 얻은 두 회사와 각각의 볼륨 레이블을 구해 FLAG를 얻는다.

 

끝 !

 

 

 

 

 

 

 

 

 

 

 

 

< 레지스트리 참고 > 

ko.wikipedia.org/wiki/%EC%9C%88%EB%8F%84%EC%9A%B0_%EB%A0%88%EC%A7%80%EC%8A%A4%ED%8A%B8%EB%A6%AC#%EC%9C%84%EC%B9%98

gedor.tistory.com/4

forensic-proof.com/archives/3632