挿入されたUSBのシリアル番号や製品情報をレジストリから調べる

※Windows 7 での検証結果です。

挿入されたUSBのシリアル番号の情報は以下のレジストリから確認できる。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_I-O_DATA&Prod_USB_Flash_Disk&Rev_3A\00080814A68800770338&0

ハイライトしたレジストリキー名の"&"以前がシリアル番号 (この例だと00080814A68800770338)。また親レジストリキー名よりベンダーはI-O Dataであることが確認できる。

挿入されたUSBのVID (Vendor ID)やPID (Product ID)は以下のレジストリから確認できる。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\VID_04BB&PID_0C43\00080814A68800770338

シリアル番号00080814A68800770338のVIDは04BB、PIDは0C43であることが確認できる。
こちらのサイトでUSBのVIDを調べると04BBはI-O DataのベンダーIDであることが確認できる。

取得したシリアル番号をWindows イベントログで検索すると、関連したイベントが記録されている場合がある。

FriendlyNameについて

後日、FriendlyNameというレジストリ・エントリの存在を知った。以下はBUFFALO製USBハード・ドライブ (シリアル番号 000019031A2F、VID 0411)を挿入した際のレジストリの様子。(Windows 7で検証)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_WDC_WD32&Prod_00BEVT-22ZCT0&Rev_\000019031A2F&0

FriendlyNameの値もUSBデバイスを特定する際の参考になるかもしれない。

以上。

参考
https://hatsoffsecurity.com/2014/06/05/usb-forensics-pt-1-serial-number/
https://hatsoffsecurity.com/2014/06/07/usb-forensics-pt-2-vendor-id-vid-product-id-pid/
McGraw-Hill Education発行 Incident Response & Computer Forensics Third Edition P.320

Leave a Reply

Your email address will not be published.