[root]\Windows\Users\{USERNAME}\NTUSER.DAT
[root]\Windows\System32\config\DEFAULT
[root]\Windows\System32\config\SAM
[root]\Windows\System32\config\SECURITY
[root]\Windows\System32\config\SOFTWARE
[root]\Windows\System32\config\SYSTEM해당 경로의 파일 수집 및 각 파일의 LOG1, LOG2 같이 수집
RLA 도구로 해당 레지스트리들을 dirty 상태에서 clean 상태로 만듦
mkdir로 registry_clean 폴더를 만들고 명령어 실행
& "C:\Program Files\Get-ZimmermanTools\net9\rla.exe" -d .\ --out .\registry_clean\
Registry Explorer로 레지스트리를 열고 해당 경로에서 USB흔적을 찾아보기
HKLM\SYSTEM\ControlSet001\Enum\USBSTOR
HKLM\SYSTEM\ControlSet001\Enum\USB
USBSTOR을 검색해 맞는 경로에서 USB 시리얼 번호 및 연결 시각 발견
USB 시리얼 번호: 03A49E66&0
USB를 검색해 해당 시리얼 번호를 찾음
찾은 저장장치만 Last Removed에 시간이 표기됨
USBSTOR 키에는 제조사 이름(Ven)과 제품 이름(Prod)만 표시되어 있고 VID와 PID는 알아낼 수 없음
해당 시리얼 번호와 일치하는 항목을 USB 키에서 찾아야 함
VID: 058F
PID: 6387
SerialNumber: 03A49E66
답은 DH{058F_6387_03A49E66}
'SWUFORCE > Write-up' 카테고리의 다른 글
| Autoruns (레지스트리 실습) (0) | 2026.05.06 |
|---|---|
| Corrupted Disk Image(파일시스템 실습) (0) | 2026.05.05 |
| VBR(파일시스템 실습) (0) | 2026.05.05 |
| Helfy image (0) | 2026.04.29 |
| hidden (0) | 2026.04.29 |