USBDeviceForensics
소개[편집]
USBDeviceForensics는 woanware에서 무료로 제공하는 USB 장치 분석 도구로, 최신 버전은 1.0.14이다. USBDeviceForensics는 GUI 도구로 Windows XP, Windows Vista, Windows 7, Windows 8을 지원한다. USBDeviceForensics는 레지스트리 파일에서 USB 장치 정보를 파싱하여 보여준다. 파싱 결과는 TXT, CSV파일포맷으로 저장할 수 있다. USBDeviceForensics 실행 화면은 [그림 1]과 같다.
사용법[편집]
USBDeviceForensics의 메인 화면에서 File탭의 Open을 선택하면 [그림 2]처럼 레지스트리 파일을 선택하는 창이 나타난다.
OS에서는 Windows 버전을 선택한다. 각각의 레지스트리 하이브 파일을 선택해야 하는데, Windows 버전 별 파일의 기본 경로는 [표 1]과 같다.
| 파일 | 운영체제 | 경로 |
|---|---|---|
| SYSTEM | Windows XP/Vista/7/8 | %SystemRoot%\system32\config\system |
| SOFTWARE | Windows XP/Vista/7/8 | %SystemRoot%\system32\config\software |
| ntuser.dat | Windows XP/Vista/7/8 | %UserProfile%\ntuser.dat |
| setupapi.log | Windows XP | %SystemRoot%\setupapi.log |
| Windows Vista/7/8 | %SystemRoot%\inf\setupapi.dev.log |
도구 기능[편집]
USBDeviceForensics의 Tools탭의 Time Zone항목에서는 [그림 3]처럼 올바른 결과값 출력을 위한 타임존 설정이 가능하다.
또한 Tools탭의 Options항목에서는 USB 장치 분석 결과를 CSV파일포맷로 저장할 때 구분자를 Comma, Semicolon, Tab 중 어떤 것으로 할지 [그림 4]처럼 선택할 수 있다.
제한사항[편집]
USBDeviceForensics는 레지스트리의 내용을 단순히 출력만 해줄 뿐, 정렬이나 검색 등 추가적인 기능이 없다는 단점이 있다.
수사 활용 방안[편집]
USBDeviceForensics는 포터블이고, 빠른 도구이기 때문에 추출한 레지스트리 파일 수사 시 활용될 수 있다.
