디지털 포렌식 - USB 접속 기록 확인
장치 관리자
장치 관리자 - 보기(V) - 숨겨진 장치 표시(W)
디스크 드라이브 - 우클릭 속성(R) - 자세히 - 마지막 제거 날짜
레지스트리
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR
-확인가능 정보 : USB의 Unique Instance 및 USBSTOR의 Subkey를 분석할 경우 이미 해당 시스템에서 사용하거나 사용했던 USB 장치를 확인
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB
-확인가능 정보 : USBSTOR에서 확인한 USB의 Unique Instance를 찾으면 USB의 제조사 아이디(VID)와 제품ID(PID) 확인 가능
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices\Devices
-확인가능 정보 : 연결했던 USB의 볼륨 이름
SetupAPILogging
C:\Windows\INF\setupapi.dev.log
-확인가능 정보 : 연결됐던 USB의 볼륨명, 시리얼넘버, 볼륨 GUID, Product ID, 최초 연결 시간, 마지막 연결 해제 시간, 저장매체를 사용한 사용자 계정 정보 등
이벤트 뷰어
이벤트 뷰어 - Microsoft- Windows - Partition - Diagnostic
출처:
PC에서 USB 사용 흔적 찾는 방법
개인의 노트북이나 PC는 물론이고 기업이나 공공기관에서의 USB 저장장치 무단 사용은 (개인)정보유출의 주요 수단으로 악용된다. 때문에 기업이나 공공기관은 내부에서 업무용으로 사용되는 PC
blogger.pe.kr
https://mr-zero.tistory.com/103
[정리] USB 사용 흔적 조사
1.장치 인식 절차 USB를 컴퓨터에 꽂으면 [그림 1]의 일련의 절차를 거치게 된다. [그림 1] 장치 인식 절차 1. USB를 컴퓨터에 꽂았을 때 Bus driver는 PnP manager에게 Device descriptor(제조 사, 일련..
mr-zero.tistory.com
https://ccibomb.tistory.com/1208
이벤트로그 분석 - USB 연결흔적 확인
이벤트로그 분석 - USB 연결흔적 확인 USB 연결사실 확인 Partition 이벤트로그에서 확인%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Partition%4Diagnostic.evtx 이벤트로그 뷰어를 통해 확인 - USB를..
ccibomb.tistory.com