디지털포렌식

[USB 파일 복구 툴 제작] 1. USB 장치 인식 절차

여니두 2020. 4. 4.

1. USB가 연결되면, 버스 드라이버는 PnP 관리자에게 장치의 고유 식별 정보(device descriptor)를 사용하여 장치 연결을 알림

* 식별 정보 (device descriptor): 제조사, 일련번호 등

* PnP 관리자 (PnP Manager)

2. 커널 모드 PnP 관리자는 전달받은 정보를 기반으로 Device Class ID를 구성하고, 레지스트리에서 ID에 맞는 적절한 드라이버가

시스템에 이미 설치되어 있는지 검색

3-1. 드라이버가 있다면 로드하고,

3-2. 드라이버가 없을 경우, 커널 모드 PnP 관리자는 장치 펌웨어에게 드라이버를 요청하고 전달받은 드라이버를 사용자 모드 PnP 관리자에게 전달한다.

4. 사용자 모드 PnP 관리자는 전달받은 드라이버를 설치하고 레지스트리에 기록한다.

드라이버 설치에 따라 생성되는 레지스트리를 순서대로 나열한 것이다.

- HKLM\SYSTEM\ControlSet00#\Enum\USB\{Vendor ID & Product ID}\{Serial Number}

- HKLM\SYSTEM\ControlSet00#\Enum\USBSTOR\{Device Class ID}\{Serial Number}\Properties

- HKLM\SYSTEM\ControlSet00#\Enum\WpdBusEnumRoot\UMB\{Device Entry}

- HKLM\SYSTEM\ControlSet00#\Control\DeviceClasses\
{10497B1B-BA51-44E5-8318-A65C837B6661}(WpdBusEnumRoot GUIDs)

- HKLM\SYSTEM\ControlSet00#\Control\DeviceClasses\
{53F56307-B6BF-11D0-94F2-00A0C91EFB8B}(Disk GUIDs)

- HKLM\SYSTEM\ControlSet00#\Control\DeviceClasses\
{53F5630D-B6BF-11D0-94F2-00A0C91EFB8B}(Volume GUIDs)

- HKLM\SYSTEM\ControlSet00#\Control\DeviceClasses\
{6AC27878-A6FA-4155-BA85-F98F491D4F33}(Portable Device GUIDs)

- HKLM\SYSTEM\ControlSet00#\Control\DeviceClasses\
{A5DCBF10-6530-11D2-901F-00C04FB951ED}(USB GUIDs)

5. 장치 드라이버 설치 과정은 로그 파일에도 기록된다.

- Windows 2000/XP: %SystemRoot%\Setupapi.log

- Windows Vista/7/8(RP): %SystemRoot%\inf\Setupapi.dev.log

6. 드라이버 설치가 완료되면, USB 장치를 시스템에 마운트하고 관련 정보를 레지스트리와 이벤트 로그에 기록한다.

- HKLM\SYSTEM\MountedDevices

- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt\{Device Entry}

- HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices\{Device Entry}

- HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoint2

- %SystemRoot%\System32\winevt\Logs\
Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx

7. 장치가 연결 해제되면, 관련 정보를 이벤트 로그에 기록한다.

- %SystemRoot%\System32\winevt\Logs\
Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx

댓글