[사이버포렌식] USB tracking

2019. 11. 9. 01:05사이버포렌식

상황 : A회사의 인사부장이 내달 승진시험을 위해 인사고과를 평가하고 퇴근하였다. 그 과정에서 작업한 노트북을 회의실에 두고 나갔고 암호가 걸리지 않는 상태에서 다음날 아침 일찍 누군가 회의실에서 USB로 무엇인가 작업을 하고 빠져나갔다는 사실을 알게 되었다.

누가 언제 무엇 때문에 그랬는지 밝혀달라고 한다.

 

증거 파일 = 인사평정점리.xlsx / 인사평점정리.bak 

 

 

 

내 컴퓨터에 USB가 마운트 되면서 생기는 정보들에 대해 알아보자

 

각각의 USB에는 Vendor ID 와 Product ID가 존재하는데 이 ID를 가지고 제조사와 종류를 알 수있다.

 

HKLM\SYSTEM\ControlSet00#\Enum\USB\VID_{Vendor ID}&PID_{Product ID}

 

USB안에 보면 여러가지 장치들이 마운트 되었던것을 볼수있다.
이 중에서 

HKLM\SYSTEM\ControlSet00#\Enum\USBSTOR\Disk&Ven_{Vendor Name}&Prod_{Product Name}&Rev_{Version}

의 레지스트리를 보면 이름을 알 수 있는데 USB\ 에서 살펴본 VID & PID 중에  아래의 사진같이

 

 



확인해 볼 수가 있다.

위의 사진은 C:\Windows\inf\setupapi.dev.log 파일의 일부분인데 여기서 USB가 마운트된 시각과 장치를 뺀 시각을 알 수 있다.

 

 

 

확인해보니 Sandisk cruzer blade라는 모델의 USB가 나온다.

 

이제 범행 시각과 USB장치를 알아냈으니 무엇을 했는지 확인을 해보면 되는데

 

원 파일과 백업 파일을 비교해보니

 

 

자신의 평점을 D 에서 S로 올린것을 확인할 수 있었다.

 

 

 

결론적으로

김경훈이13:40:07:079 에 들어와 인사평점을 D에서 S로 변경하고 USB를 꽂아 자료를 받았으며 13:30:07:127에 나간 사실을 알 수 있다

'사이버포렌식' 카테고리의 다른 글

[포렌식] registry ripper  (0) 2019.11.09