Month: May 2020

※Windows 7 での検証結果です。 2023年1月追記 本記事で紹介しているシリアル番号の確認方法は正確ではない・誤りである可能性があります。詳しくはこちらのSANSの記事をご参照ください。よって、本記事の内容はあくまで参考程度に留めておいてください。 挿入されたUSBのシリアル番号の情報は以下のレジストリから確認できる。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_I-O_DATA&Prod_USB_Flash_Disk&Rev_3A\00080814A68800770338&0 ハイライトしたレジストリキー名の"&"以前がシリアル番号 (この例だと00080814A68800770338)。また親レジストリキー名よりベンダーはI-O Dataであることが確認できる。 挿入されたUSBのVID (Vendor ID)やPID (Product ID)は以下のレジストリから確認できる。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\VID_04BB&PID_0C43\00080814A68800770338 シリアル番号00080814A68800770338のVIDは04BB、PIDは0C43であることが確認できる。こちらのサイトでUSBのVIDを調べると04BBはI-O DataのベンダーIDであることが確認できる。 取得したシリアル番号をWindows イベントログで検索すると、関連したイベントが記録されている場合がある。 FriendlyNameについて 後日、FriendlyNameというレジストリ・エントリの存在を知った。以下はBUFFALO製USBハード・ドライブ (シリアル番号 000019031A2F、VID 0411)を挿入した際のレジストリの様子。(Windows 7で検証) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_WDC_WD32&Prod_00BEVT-22ZCT0&Rev_\000019031A2F&0 FriendlyNameの値もUSBデバイスを特定する際の参考になるかもしれない。 以上。 参考https://www.sans.org/blog/the-truth-about-usb-device-serial-numbers/ https://hatsoffsecurity.com/2014/06/05/usb-forensics-pt-1-serial-number/ https://hatsoffsecurity.com/2014/06/07/usb-forensics-pt-2-vendor-id-vid-product-id-pid/McGraw-Hill Education発行 Incident Response & Computer Forensics Third Edition P.320