Find the USB

이전 문제도 그냥 포스팅 다 해야겠다.
음 금방했다. 대충 30분정도 걸렸네
이미 아는 내용들이고, 동아리 후배 애들 멘토링할 때 하도많이 다뤘던 것들이라서 빠르게 끝냈다.

자 이번 문제에 대한 정보를 확인해보자.

이 문제에서 처음보는 내용이 2개가 있네 VID PID?
한 번 검색해볼까?

아 Vendor ID랑 Product ID이구나
지난번에 문제 풀었을때 Vendor 넘버인가에 대해서 레지스트리를 통해서 알아낸 기억이 있다.
그때는 Vendor만 알아냈는데 이번에는 Porduct까지 ID 값을 알아내야하는구나
이거 지난번 문제 때는 Vendor로 제조사만 알아냈었는데...
그리고 내 기억상으로는 USB를 연결해도 제조사와 제품의 종류에 따라서 남는 레지스트리 값이 달라서
어떤 USB는 ID 형태로 나오지 않는 경우도 있을듯하다.
뭐...문제에는 나오는 USB를 썼으니까 문제로 출제했겠지?
자 그럼 해당 이미지를 다운로드 받고 열어보자.

일단 딱봐도 레지스트리를 통해서 USB 접근 기록을 찾아내야해서
FTK Imager로 찾는건 경로명을 찾아가는 것도 귀찮아서 Autopsy로 했다.
물론 레지스트리 경로는 머릿속에 어느정도 외워두는게 좋기 때문에 FTK Imager로 일일히 하이브 파일을 찾아서 추출하고 레지스트리 분석 도구로 값을 찾아내는게 낫겠지만....

이미 한 번 해본 내용이니까 나는 Autopsy로 했다.
포렌식을 정말 처음 접하거나 별로 안해본 사람이라면 직접 하이브 파일의 경로를 찾아가서 하이브 파일 내부의 레지스트리를 직접 찾아가는 경험을 해보길 바란다.

USB Device Attached 항목에 들어가면 각종 레지스트리를 통한 USB 접근 기록을 볼 수 있다.
여기에 Device Model이 Flash Drive인 기기가 USB로 보인다.
아래 내용을 보면 접근된 날짜가 2024-04-04 21:08:49 KST 한국시 기준이다.
문제에서

2024년 4월이라고 하였으니 정황상 맞아떨어진다.

여기서 구해야하는 값 중에 

Device ID가 DeviceSerialNumber이다.
DeviceSerialNumber = 0x03A49E66

그럼 남은 VID와 PID는 어디서 구할 수 있을까...
가장 쉬운 방법은 해당 SYSTEM 하이브 파일을 뽑아내서 Rega가 Registry Viewer와 같은 레지스트리 도구로 분석하는게 좋을듯하다.
그러므로 해당 파일을 Export하고 Rega로 분석해보겠다.
...아 Rega가 노트북에 없다. 그냥 Registry Viewer이 있으니까 이걸로 분석해야겠다.

어...막상 레지스트리 경로 보려니까 기억을 더듬어도 잘 기억이 안나네
어카지.... 자존심 상하네 조금....

내가 지난번에 Vendor 구한 내용에서 있었나 한 번 봐야겠다...

https://wintersnowaaa.tistory.com/17

디지털포렌식 2급 실기 (2018 모의 문제 풀이 - 2번 문제) [FTK Imager]

3번 문제에 있었네.
근데 Rega로 분석했었고, 해당 레지스트리의 경로와 값을 직접 찾아가질 않았네.
그러면 이번 기회에 한 번 알아보면되겠다.
일단 GPT 선생님한테 먼저 물어보자.

그러네 해당 경로에 VID와 PID값이 적힌 레지스트리가 있다.
이 중에 어떤 것이 해당 USB인지 확인해보는 방법은 2가지가 있다.

1. Last Written Time이 2024-04-04 21:08:49 KST 인 레지스트리를 찾는다.
2. Autopsy에서 알려준 DriveSerialNumber 값과 일치하는 레지스트리를 찾는다.

뭐 일단 2가지 경우 다 해보자.

확인해보니 2개의 레지스트리가

2024-04-04 21:08:48 KST VID_0E0F&PID_0002
2024-04-04 21:08:49 KST VID_058F&PID_6387 으로 찍혀있었다.

레지스트리 기록이 먼저되는 경우가 있나?
오차가 있을 수도 있다고 가정하고 두개 다 유력한 후보로 두자.

어차피 DriveSerialNumber 확인하면 어느것이 맞는 확정된다.

VID_058F_PID_6387 쪽의 레지스트리를 확인해보면 아래에 03A49E66 이라는 값이 있는데 앞의 DeviceSerialNumber 의 값이다.
내용을 보면 SymbolicName의 키 값으로 VID 값, PID값 그리고 DeviceSerialNumber가 한꺼번에 기록되어있다.

정리해보면 시간상의 오차는 없었다.

VID = 058F
PID = 6387
DeviceSerialNumber = 03A49E66

이렇게인데 레지스트리의 값이 아마 대부분 리틀엔디안으로 되어있을지도 모르니까 그대로 넣어보고 답이 안맞으면 빅엔디안 방식으로 바꿔서 넣어보면 답이 나올듯하다.

.

.

.

.

 

음 리틀엔디안 방식이 아닌가보다.

그대로 넣으니까 답이 맞네.

뭐...나쁘지 않게 풀었다.
이 문제는 대충 36분정도 걸렸네.
그리고 앞의 설명 부분도 없이 그냥 스스로 아는 범위 내에서 해결해냈으니

이정도면 만족.