Thursday, February 7, 2013

Digital Forensics: USB Forensics

Digital Forensics: USB Forensics >  Windows OS 1

(Update 2017)
     สิ่งที่ท่านต้องพิจารณาในการตรวจสอบว่ามีการ เสียบ USB Flash Drive บนเครื่องคอมพิวเตอร์ที่ท่านตรวจสอบบนระบบ windows  จะถูกเก็บอยู่ใน registry

USB Devices


เมื่ออุปกรณ์ USB ถูกเชื่อมต่อเข้ากับคอมพิวเตอร์ Windows ในครั้งแรก   ระบบ Plug and Play (PnP) Manager ได้รับการแจ้งเตือน และมีการ query เพื่อระบุ device class identifier (device class ID) และพยายามหา driver ของอุปกรณ์นั้น

การค้นหาและติดตั้ง driver ที่ถุกต้องกับอุปกรณ์นั้นได้ถูกบันทึกอยู่ในไฟล์ setupapi.log หรือไฟล์ setupapi.dev.log (Windows 7).

log file นี้เป็นแหล่งข้อมูลที่มีคุณค่ามากสำหรับผู้ทำ forensic เนื่องจากมีข้อมูล วันและเวลาที่อุปกรณ์ที่ usb นั้นถูกเชื่อมต่อเข้าเป็นครั้งแรกกับระบบ

Windows XP - "C:\Windows\setupapi.log"

Windows 7 - "C:\Windows\inf\setupapi.dev.log“

    รูปภาพแสดงรายละเอียดใน registry เพื่อใช้ในการตรวจ USB Flash Drive

Windows XP 

10 ขั้นตอนในการหาร่องรอยจาก USB Drive จาก SANS 

USB Forensics

Windows Vista  

7 ขั้นตอนในการหาร่องรอยจาก USB Drive จาก SANS 

USB Forensics
 
HKLM\System\CurrentControlSet\Enum\USBSTOR
โดยภายใต้ key ดังกล่าวจะเป็นรายชื่อและ Product ,Version รุ่นของอุปกรณ์ USB ที่เชื่อมต่อเข้ากับคอมพิวเตอร์ที่ทำการตรวจสอบ

USBSTOR

 ProductName เป็นชื่อรุ่นของอุปกรณ์

 VendorName เป็นชื่อของผู้ผลิตของอุปกรณ์

เราสามารถดู หมายเลข serial number ของอุปกรณ์ USB ที่เสีบเข้าเครื่องนั้นสามารถดูได้จาก sub key ของ registry


Determine Last Time Device Connected 

การดูเวลาครั้งสุดท้ายที่ USB thumb drive ถูกเสียบเข้าเครื่องคอมพิวเตอร์นั้นเราจะอาศัยการดู Last Write Time ของ registry key  HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\



 Download pdf file
USB Forensics sheet


Reference :
http://forensics.sans.org
http://twitter.com/sansforensics

Digital Forensics: USB Forensics >  Part 2


#USB Forensics
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud