윈도우를 사용하다보면 많은 사람들이 USB 메모리를 이용하여 정보를 읽고, 쓰곤 합니다.
USB의 경우는 윈도우에서 볼 때 하드드라이브로 보여지지만 실제로는 하드로 사용되지 않고 별도의 장치로 분류되어 마운트 됩니다. ( 사용자 입장에서는 동일하겠지만..^^; )
간혹, 시스템에 누군가 USB로 정보를 빼가진 않았나? 하는 생각에서 감사를 수행하려고 해도 정작 그 내용이 어디에 있는지 알지 못하는 경우가 많습니다.
윈도우에는 USB 정보가 레지스트리에만 남아 있다고 생각하시는 분들도 많구요.
실제로는 로그파일과 레지스트리 두군에 남습니다.
레지스트리에는 아래 경로에 남습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR |
로그파일은 xp와 윈도우7(비스타 동일)이 경로가 상이 합니다.
xp에서는 아래의 경로에 저장됩니다.
c:\windows 밑에 존재하는 setupapi 파일에 USB 사용기록이 남아 있습니다.
또, setupapi.log.0.old 파일에도 역시 setupapi의 백업본으로 기록이 남아 있게 됩니다.
윈도우 7 이나 비스타의 경우는 c:\windows\inf 경로 밑에 setupapi.dev.log 파일로 기록이 남아 있게 됩니다.
그리고 , 파일은 일반 아스키 텍스트 로그 파일이므로 에디터를 이용하면 쉽게 지울 수 있습니다.
보안이 양날의 칼이라 불리우는 이유...
중요한 시스템에 인가 받지 않은 USB 를 통해 정보를 반출하려고 시도한뒤에 이러한 정보를 이용하여 누군가 접근한뒤에 깨끗이 지우고 간다면?
역으로 생각하면 사용한 시스템에서 나의 프라이버시를 위해 흔적을 남기지 않고 싶다면. 역시 좋은 선택이 될 것입니다.
조직의 보안감사팀에서는 이를 토대로 하여 보안감사시 디지털 증거로 수집할 수 있습니다.
어디에 사용할지는...^^ 개개인의 판단에 맡겨야 하겠지요.
'security > 포렌식' 카테고리의 다른 글
windows forensic toolchest (WFT 3.0) 자료 (0) | 2010.06.29 |
---|---|
메모리 포렌식 관련 자료 입니다. (0) | 2010.06.25 |
보안실습환경을 위한 해킨토시 (3) | 2010.05.04 |
MS 오피스 스테가노그라피 (0) | 2010.04.24 |
컴퓨터 포렌식 관련 자료 입니다. (1) | 2010.02.25 |