Lecteur USB

But et fonction

Windows conserve un historique détaillé des périphériques de stockage USB connectés au système. L’objectif principal de ce suivi est de faciliter une expérience « plug and play » fluide. Lorsqu’un appareil est reconnecté, Windows utilise ces informations historiques pour le reconnaître rapidement, charger les bons pilotes et lui attribuer une lettre de lecteur sans avoir à passer par l’installation complète à chaque fois.

Du point de vue du DFIR, cette fonctionnalité de commodité crée un journal persistant et précieux de tous les périphériques de stockage externes jamais connectés à la machine. Cet historique peut prouver qu’un dispositif spécifique a été utilisé sur un système, même si l’appareil n’est plus physiquement présent.

Emplacement et structure

Les preuves de l’historique des périphériques USB sont réparties à plusieurs endroits, principalement dans le registre Windows et les fichiers journaux système.

  1. Registre - La clé :USBSTOR

    • Emplacement: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

    • Structure: C’est la clé de registre principale pour le suivi des périphériques de stockage de masse USB. Il contient une sous-clé pour chaque appareil unique connecté. Le nom de la sous-clé est dérivé des identifiants matériels de l’appareil (identifiant du fournisseur, identifiant produit et numéro de série unique).

    • Métadonnées: Dans la sous-clé de chaque appareil, vous pouvez trouver le nom amical de l’appareil, les identifiants matériels et un horodatage indiquant la date d’installation initiale de l’appareil sur le système.

  2. Registre - Dispositifs montés :

    • Emplacement: HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

    • Structure: Cette clé associe les identifiants de volume (par exemple, ) aux GUID de volume uniques. Cela aide à corréler un appareil spécifique avec la ou les lettres de lecteur qui lui ont été attribuées.\DosDevices\E:

  3. Fichiers journaux - :setupapi.dev.log

    • Emplacement: C:\Windows\inf\setupapi.dev.log

    • Structure: Ce fichier journal en clair enregistre des informations détaillées sur l’installation des périphériques, y compris les pilotes. Il contient des horodatages de haute précision indiquant la première connexion et la dernière connexion ou déconnexion d’un périphérique USB.

Métadonnées stockées

En corrélant les informations provenant de ces sources, un analyste peut établir un profil complet pour chaque périphérique USB connecté :

  • Identifiants d’appareil : Identifiant fournisseur (VID), ID produit (PID) et un numéro de série unique. Cette combinaison permet souvent d’identifier la marque et le modèle exacts de l’appareil.

  • Nom de l’appareil : Le « Nom Amical » de l’appareil tel qu’indiqué au système d’exploitation (par exemple, « SanDisk Cruzer Blade »).

  • Premier horodatage connecté : La date et l’heure à laquelle l’appareil a été connecté pour la première fois au système (trouvées dans et ).USBSTOR setupapi.dev.log

  • Dernier horodatage connecté : La date et l’heure de la connexion la plus récente de l’appareil (trouvées dans ).setupapi.dev.log

  • Dernier horodatage retiré : La date et l’heure de la dernière débranchement de l’appareil (trouvées dans ).setupapi.dev.log

  • Lettre de conduite assignée : La lettre du lecteur (par exemple, ) qui était assignée au volume de l’appareil.E:

Valeur médico-légale

L’analyse de l’historique des périphériques USB est essentielle pour comprendre comment les données et les programmes ont pu être introduits ou exfiltrés d’un système.

  • Prouver qu’un dispositif était présent : Il fournit une preuve définitive qu’un périphérique de stockage USB spécifique était connecté au système, ce qui est essentiel pour réfuter les affirmations selon lesquelles un appareil n’a jamais été utilisé.

  • Établir un calendrier d’utilisation : Les horodatages de la première connexion, de la dernière connexion et de la dernière suppression permettent à un analyste de déterminer quand un appareil interagissait physiquement avec le système. Cela peut être corrélé à d’autres preuves, comme des traces d’exécution de programme provenant d’une lettre de lecteur spécifique.

  • Identifier la source des fichiers malveillants : Si des fichiers malveillants sont détectés comme ayant été exécutés depuis un disque amovible, l’historique USB peut aider à identifier l’appareil spécifique utilisé, reliant l’activité à un objet physique.

  • Suivi de l’exfiltration des données : Dans les enquêtes sur le vol de données, l’historique USB peut indiquer quels appareils étaient connectés à l’époque où les données sensibles ont disparu.

Des outils spécialisés comme Nirsoft, Eric Zimmerman (qui peuvent analyser les journaux) ou des suites médico-légales sont généralement utilisés pour agréger et analyser ces informations efficacement.USBDeview JLECmd setupapi

Points de réflexion (Concours SS)

Pour un partageur d’écran, l’historique des périphériques USB est l’outil principal pour étudier l’une des plus anciennes méthodes de contournement : exécuter des triches depuis un disque amovible.

  • Le contournement du « triche sur un bâton » : Une tactique courante consiste à stocker ses triches sur une clé USB, à les lancer à partir de là, puis à débrancher la clé avant le partage d’écran. Le but est de ne laisser aucun fichier sur le disque principal du système. Les artefacts d’histoire USB annulent complètement cette tactique.

  • Trouver le disque récemment débranché : La preuve la plus puissante est de trouver une entrée dans le ou un outil comme montrant qu’un périphérique de stockage de masse USB a été débranché quelques instants avant le début du partage d’écran. C’est un indicateur extrêmement fort que le joueur essayait de cacher l’appareil.setupapi.dev.log USBDeview

  • En lien avec les preuves d’exécution : Si le Prefetch ou le BAM affiche l’exécution d’un fichier à partir d’une lettre de lecteur comme , un SSer peut alors vérifier l’historique USB pour prouver qu’un périphérique USB spécifique a été récemment monté comme disque, reliant directement le périphérique physique à l’exécution de la triche.E:\ E:

  • Contexte FAT32/exFAT : Les lecteurs utilisent souvent FAT32 ou exFAT sur des clés USB, qui manquent d’un journal robuste (). Cela rend l’historique USB encore plus critique, car il peut s’agir du seul enregistrement persistant de la présence et de l’activité de l’appareil sur le système.$UsnJrnl

PrécédentArtefact du planificateur des tâchesSuivantJournaux d’événements Windows

Mis à jour