![[N0Named Forensic] [B] 유출된 자료 거래 사건 1](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FdDsHSz%2Fbtq9cIxTc36%2FkauQx1TVALAwXwR7qnNxV1%2Fimg.png)
728x90
FTK로 열어 SOFTWARE를 내보내고 REGA로 열 생각이다.
USB 연결 흔적이 저장되어 있는 레지스트리 경로 HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices 를 들어가보면, 2개의 키가 존재한다.
플래그 형식에도 2개의 USB가 쓰인 것 같으니 맞는 것 같다.
키 경로 이름 자체에 모든 정보가 포함되어 있다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices\Devices\WPDBUSENUMROOT#UMB#2&37C186B&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_SANDISK&PROD_ULTRA&REV_1.00#4C531001431019122384&0#
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices\Devices\WPDBUSENUMROOT#UMB#2&37C186B&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_SAMSUNG&PROD_UFD&REV_1100#AT14040312001103&0#
여기서 레이블은 Friendly name을 뜻한다!
728x90
'Wargame > N0Named Wargame' 카테고리의 다른 글
| [N0Named Forensic] [C] Left Side B (0) | 2021.07.09 |
|---|---|
| [N0Named Forensic] [A] 123321123200 (0) | 2021.07.05 |
| [N0Named Forensic] [A] 수상한 메일 (0) | 2021.07.05 |
| [N0Named Forensic] [A] 입사 테스트[2] (0) | 2021.06.30 |
| [N0Named Misc] 일세계_이세계_삼세계 (0) | 2021.05.21 |