2022. 11. 16. 14:08
728x90
윈도우 10 이벤트 로그 중 연결 장치 흔적을 볼 수 있는 로그가 하나 더 있습니다.
- 파일: Microsoft-Windows-Partition%4Diagnostic.evtx
- 이벤트ID: 1006
+ 획득가능 정보 (HDD, USB 모두 해당)
--- 제조사명, 제품명, 버전명, 시리얼번호, 용량
--- 파티션테이블, MBR, VBR의 RAW덤프 데이터
SB와 같은 장치를 연결하면 윈도우는 장치로부터 드라이버를 받아 설치하거나 이미 있다면 기존 드라이버를 로드시키고, 연결 해제 시 드라이버를 언로드 시킨다. 이와 같은 드라이버 이벤트는 다음 로그 파일에 기록된다.
- %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx
장치 연결 시 드라이버 로드는 반드시 일어나므로 해당 이벤트 로그를 확인하면 장치의 연결, 해제 흔적을 알 수 있다.
http://forensic-proof.com/archives/5945
윈도우 7 장치 연결/해제 이벤트 로그 (Windows 7 Device Tracking Event Log) | FORENSIC-PROOF
forensic-proof.com
728x90
'포렌식 > 컴퓨터' 카테고리의 다른 글
| 윈도우 레지스트리에서 디바이스 정보 (0) | 2023.04.18 |
|---|---|
| encase에서 비트락커 메시지 다시 띄우기 (0) | 2023.02.14 |
| sticky 메모(스티키 메모) db에서 시간 데이터 변환 쿼리문 (0) | 2022.09.26 |
| 하드링크에 대한 교육 (0) | 2022.08.31 |
| Windows Artifacts (0) | 2022.08.18 |