상황 : A회사의 인사부장이 내달 승진시험을 위해 인사고과를 평가하고 퇴근하였다. 그 과정에서 작업한 노트북을 회의실에 두고 나갔고 암호가 걸리지 않는 상태에서 다음날 아침 일찍 누군가 회의실에서 USB로 무엇인가 작업을 하고 빠져나갔다는 사실을 알게 되었다. 누가 언제 무엇 때문에 그랬는지 밝혀달라고 한다. 증거 파일 = 인사평정점리.xlsx / 인사평점정리.bak 내 컴퓨터에 USB가 마운트 되면서 생기는 정보들에 대해 알아보자 각각의 USB에는 Vendor ID 와 Product ID가 존재하는데 이 ID를 가지고 제조사와 종류를 알 수있다. HKLM\SYSTEM\ControlSet00#\Enum\USB\VID_{Vendor ID}&PID_{Product ID} USB안에 보면 여러가지 장치들이 마..

Regripper는 Harlan Carvey에서 개발한 레지스트리 분석 도구로 데스크탑, 노트북의 장비들의 사용기록을 조사하는데 유용하게 사용할 수 있는 툴이다. 먼저 FTK로 dd파일을 마운트 시킨 뒤 드라이브에서 Window\System32\config 폴더에 들어있는 각종 정보들이 들어있는 레지스트리 파일들을 extract시켜 저장해둔다음 Regripper.exe를 실행시킨다. Regripper는 각종 plugin 들을 지원해 주는데 맞는 레지스트리에 맞추어 Rip it을 클릭해 주면 알아서 정보들을 파싱한 상태로 txt파일로 보여준다. 위와 같이 유용한 정보들을 얻을 수 있어 분석하는데 도움이 된다.