1. 기본 드라이버 ; USB 저장 장치를 연결하면 USB 메모리 드라이버 정보들이 저장되는 레지스트리
[ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR ]
[ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR ]
[ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USBSTOR ]
2. 자동실행 컨트롤 레지스트리 ; 이 레지스트리를 통하여 USB 자동실행을 On / Off 할 수 있다.
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 의 NoDriveTypeAutoRun
0x1 Disables Autoplay on drives of unknown type.
0x4 Disables Autoplay on removable drives. ; 값을 4 로 해놓으면 휴대용 저장장치 자동실행이 억제된다.
0x8 Disables Autoplay on fixed drives.
0x10 Disables Autoplay on network drives.
0x20 Disables Autoplay on CD-ROM drives.
0x40 Disables Autoplay on RAM drives.
0x80 Disables Autoplay on drives of unknown type.
0xFF Disables Autoplay on all types of drives.
3. 쓰기방지 ; 이 레지스트리 설정을 통하여 USB 메모리의 Writing 기능을 제한할 수 있다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control 내에 StorageDevicePolicies 라는 키를 생성
키내에 DWORD를 생성하고 이름을 WriteProtect 로 부여 DWORD Value를 16진수 1로 정의 (0 은 쓰기 허용 )
4. USB drive 사용 흔적 ; USB 메모리를 PC 에 연결하면 생성되는 레지스트리들
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
위의 key는 모든 usb에 대한 정보를 기록합니다. Keyboard, usb memory, mouse 등
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
위 key는 mass storage로 등록되는 (예로 usb memory stick, 외장 disk 등) usb에 대한 정보가 기록됩니다. ControlSet001 & 002 키도 있다. (Back up 레지스트리 백업)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{36FC9E60-C465-11CF-8056-444553540000}
usb device의 설치 inf 정보입니다. 위와 같이 3개의 registry key에서 usb usage history를 확인하실 수 있습니다.
* 추가적으로 윈도우 폴더에 setupapi.log파일에 USB 메모리의 사용이 기록됩니다.
출처 _ http://www.usboffice.kr/zbxe/use_etc/2274/page/3
댓글 없음:
댓글 쓰기