연결된 USB 장치의 기록

당신은 법의학 분야에 속해 있으므로 Google에서 이를 찾아야 합니다. 이 중 일부의 문제는 공식적으로 문서화되지 않았다는 것입니다. 그러나 모든 외부 장치 정보는 이전에 연결되었더라도 특정 레지스트리 키에 기록됩니다. 비결은 어떤 형식과 형식을 알아내는 것입니다.

꽤 시간이 지났지만 다음과 같이 시작한 것을 기억합니다.

HKLM\System\MountedDevices

각 키의 형식은 REG_BINARY이지만 16비트 텍스트입니다. 연결된 각 장치에 대한 GUID, 장치 이름 및 일련 번호가 있습니다.

실제로 나가서 직접 해보지 않고도 몇 가지 예를 들 수 있습니다. 예:

이름: \??\Volume{c861df80-1440-11e2-9288-d4bed9441b44} REG_BINARY ...... {.. GUID...}

REG_BINARY의 데이터를 디코딩하면 다음과 같은 상호 참조가 가능한 GUID를 얻게 됩니다.

이름: “\DosDevices\E:” REG_BINARY ..... (여기 어딘가에 동일한 GUID)

따라서 첫 번째에서 세부 정보와 일련 번호를 얻고 두 번째에서 연결된 위치를 확인할 수 있습니다. GUID는 다른 키에서 동일한 USB 장치와 해당 일련 번호를 찾는 데에도 사용할 수 있습니다. 특히 다음과 같습니다.

HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{GUID}

간단히 말해서, 여러분이 관심을 가질 만한 몇 가지 다른 핵심 사항은 다음과 같습니다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

"HKLM\SYSTEM\MountedDevices" 키의 GUID가 이 키의 GUID(이 사용자의 경우 HKLM이 아니라 HKCU임)와 일치하는 경우 특정 USB 장치가 연결되었을 때 어떤 사용자가 로그인했는지 나타냅니다. "마지막 쓰기 시간"도 여기 어딘가에 있습니다.

HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\

여기의 하위 키(GUID)에는 장치 이름, 일련 번호 및 기타 GUID 하위 키가 포함됩니다. 각 장치를 연결한 후 나중에 제거한 시점에 대한 타임라인도 캡처됩니다.

REG_BINARY를 디코딩해야 하기 때문에 실제 예제를 깊이 파고들지는 않았지만 원하는 경우 이 게시물을 다시 편집하고 세부 정보를 추가할 수 있습니다. 참고 저는 이 문제를 조사하기 위해 REG QUERY를 사용했지만 키를 두 번 클릭하면 regedit가 세부 정보를 디코딩한다는 것을 방금 확인했습니다(편집하지 마세요!!).