+ USB 메모리 사용 흔적 삭제하기
요즘은 너무나 쉽게 볼 수 있는 USB 메모리. 이 메모리를 사용하면 PC에는 USB메모리 사용 흔적이 남게 됩니다. 보안상의 이유 등으로 이런 흔적을 삭제해야 하거나, 마찬가지로 보안상의 이유로 다른 USB 메모리가 사용된 적은 없는지 알아보는 방법에 대해 얘기 해 보도록 하죠. 이는, MP3 Player, 외장형 하드디스크등 메모리로 잡히는 모든 USB장치에 적용 됩니다.
1. 레지스트리
첫번째로 USB메모리 사용 흔적이 기록되는 곳은 바로 레지스트리 입니다. 레지스트리 에디터 실행 방법 정도는 다들 아시리라 믿고. (시작버튼 -> 실행 -> "regedit" 입력 후 엔터)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB 라는 경로로 이동하시면 위와같은 것들이 보입니다.
저 Vid_ 로 시작하는 것들이 바로 다양한 USB메모리들 입니다. 많이도 꽂았네요. 삭제를 원하시면 각각의 항목에서 마우스 오른쪽 버튼을 누른 후 '삭제' 를 클릭하시면 되는데, 일반적으로 그냥 지워지지 않습니다.
이런 경우에는 해당 항목에서 마우스 오른쪽 버튼을 클릭 후 '사용권한' 항목을 선택하신 후에,
Everyone 으로 되어있는 상태에서 아래쪽에 있는 '모든 권한' 에 '허용' 에 체크하시고 '확인' 을 누르신 후에 해당 항목을 다시 삭제 해 보시면 이제 삭제가 되실겁니다.
이렇게만 하고 끝나면 좋겠지만, 그 바로 아래
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Enum\USBSTOR 라는 항목을 보시면
더 적나라하게 장치 이름이 기록 되어 있지요. 흔히 아는 이름으로 뭐 iRiver 도 보이고.. Samsung YP-P2, Samsung YP-S5.. 이 PC는 MP3 Player 만 3대를 사용하고 있네요 ㅋ 위에서 하신 것과 마찬가지 방법으로 해당 항목들을 삭제 하시면 레지스트리는 정리가 된 것 입니다.
2. setupapi.log 파일
이 파일의 존재는 아마 대부분의 분들이 모르고 계실겁니다. 하지만, 이 파일은 레지스트리 만큼이나 여러분들이 이 PC에서 뭘 했는지를 상세히 담고있는 파일중 하나입니다. 이 파일은 "C:\Windows\setupapi.log" 라는 이름으로 존재합니다. (물론 여기서 C:\Windows\ 는 여러분의 Windows 설치 폴더 겠죠 ?) log 확장자의 파일은 일반적으로 메모장에 연결되어 있으므로, 간단히 [ 시작-> 실행-> "setupapi.log" 라고 입력 후 엔터 ] 와 같은 방법으로도 열어보실 수 있습니다.
쭉 내려보시면, OS의 버젼부터 플랫폼, 제품군 종류부터 해서 여러분들이 어떤 장치를 설치했고 삭제 했는지 내역이 전부 나옵니다. 이 기록은 PC에 Windows 를 설치한 후부터 계속해서 누적 기록됩니다.
이 파일에서 Ctrl + F 를 눌러 "대용량 저장소" 혹은 "USB\VID_" 와 같은 문자열로 검색하시면 USB 메모리가 설치된 내역을 찾으실 수 있는데, 위에서 보시는 바와 같이 설치된 날짜로 시작하는 대괄호 부분부터 "장치를 설치했습니다." 가 나오는 부분까지를 삭제하시면 USB 사용 내역이 삭제 됩니다.
흔히들, '컴퓨터를 잘한다' 고 하는 사람들이 '나는 니가 이 PC로 한 일을 알 수 있다' 고 하면 거짓말 같지만, 우리들의 친절한 윈도우는 이렇게 대부분의 사용정보를 기록하고 있기 때문에 여러분이 PC로 뭘 했는지 알아내는건 그리 어렵지 않습니다. 항상 PC를 사용할 때엔, 내가 하는 짓거리(?)가 어딘가 기록되고 있구나 라는걸 잊지 말아야 할 것입니다.
'DFIR > 디지털포렌식 기초' 카테고리의 다른 글
BitLocker 포렌식 (0) | 2021.03.04 |
---|---|
[Forensic] 디스크포렌식 기초 (0) | 2021.01.27 |
[Forensic] 윈도우 아티팩트 - 레지스트리 (0) | 2021.01.22 |
[Forensic] Encase 를 이용한 디지털포렌식 분석 (0) | 2021.01.21 |
[Forensic] WinHex 사용법 (0) | 2021.01.21 |