Digital Forensics: USB Forensics > Windows OS 1
(Update 2017)สิ่งที่ท่านต้องพิจารณาในการตรวจสอบว่ามีการ เสียบ USB Flash Drive บนเครื่องคอมพิวเตอร์ที่ท่านตรวจสอบบนระบบ windows จะถูกเก็บอยู่ใน registry
USB Devices
การค้นหาและติดตั้ง driver ที่ถุกต้องกับอุปกรณ์นั้นได้ถูกบันทึกอยู่ในไฟล์ setupapi.log หรือไฟล์ setupapi.dev.log (Windows 7).
log file นี้เป็นแหล่งข้อมูลที่มีคุณค่ามากสำหรับผู้ทำ forensic เนื่องจากมีข้อมูล วันและเวลาที่อุปกรณ์ที่ usb นั้นถูกเชื่อมต่อเข้าเป็นครั้งแรกกับระบบ
Windows XP - "C:\Windows\setupapi.log"
Windows 7 - "C:\Windows\inf\setupapi.dev.log“
รูปภาพแสดงรายละเอียดใน registry เพื่อใช้ในการตรวจ USB Flash Drive
Windows XP
10 ขั้นตอนในการหาร่องรอยจาก USB Drive จาก SANS
USB Forensics |
Windows Vista
7 ขั้นตอนในการหาร่องรอยจาก USB Drive จาก SANS
USB Forensics |
โดยภายใต้ key ดังกล่าวจะเป็นรายชื่อและ Product ,Version รุ่นของอุปกรณ์ USB ที่เชื่อมต่อเข้ากับคอมพิวเตอร์ที่ทำการตรวจสอบ
USBSTOR |
VendorName เป็นชื่อของผู้ผลิตของอุปกรณ์
เราสามารถดู หมายเลข serial number ของอุปกรณ์ USB ที่เสีบเข้าเครื่องนั้นสามารถดูได้จาก sub key ของ registry
Determine Last Time Device Connected
การดูเวลาครั้งสุดท้ายที่ USB thumb drive ถูกเสียบเข้าเครื่องคอมพิวเตอร์นั้นเราจะอาศัยการดู Last Write Time ของ registry key HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\
Download pdf file
USB Forensics sheet
Reference :
http://forensics.sans.org
http://twitter.com/sansforensics
Digital Forensics: USB Forensics > Part 2
#USB Forensics
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud