# 응용프로그램 실행

## 1. 개요

이동식 미디어는 컴퓨터에 연결할 수 있는 외부 저장 장치를 의미한다. 이러한 장치는 데이터를 저장하거나 전송하는 용도로 사용되기에 데이터 유출의 주요 수단 중 하나이다. 예를 들어, 직원이 회사의 기밀 정보를 USB 드라이브에 복사해 외부로 유출할 수 있다. 이러한 사고가 발생했을 시, 이동식 미디어 사용 흔적을 분석하면 어떤 데이터가 언제 유출되었는지 파악할 수 있다. 이동식 미디어 흔적을 확인할 수 있는 여러 아티팩트가 존재하지만, 이 글에서는 관련된 이벤트로그 파일이 무엇인지 설명한다.

* **이동식 미디어의 예**
  1. **USB 플래시 드라이브**: 흔히 'USB 메모리'라고도 하며, 소형이고 휴대가 간편한 저장 장치다.
  2. **외장 하드 드라이브**: 더 많은 용량을 제공하는 외부 저장 장치로, USB나 다른 인터페이스를 통해 컴퓨터에 연결된다.
  3. **SD 카드**: 주로 카메라나 스마트폰 등에서 사용되는 소형 메모리 카드이다.
  4. **CD/DVD**: 광학 디스크로, 데이터를 저장하고 읽을 수 있는 매체다.
  5. **플로피 디스크**: 현재는 거의 사용되지 않지만, 과거에 널리 사용되던 저장 장치다.

## 2. 이벤트로그 확인

### 주요 이벤트로그

이동식 미디어 흔적을 확인할 수 있는 이벤트로그 파일과 이벤트 ID는 다음의 표와 같다.

<table data-full-width="true"><thead><tr><th width="157">구분</th><th width="302">이벤트로그 파일 명</th><th width="320">설명</th><th>이벤트 ID</th></tr></thead><tbody><tr><td>장치 연결/해제</td><td>Microsoft-Windows-Partition%4Diagnostic.evtx</td><td>Windows 운영 체제에서 발생하는 파티션 관련 진단 로그이며 이동식 디스크<br> (USB 스틱, SD카드, 외장 하드 등) 정보 저장</td><td>1006</td></tr><tr><td>장치 연결/해제</td><td>Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx</td><td>Windows 운영 체제에서 사용자 모드 드라이버 프레임워크(UMDF, User-Mode Driver Framework)와 관련된 이벤트를 기록</td><td>2003<br>2004<br>2005<br>2010</td></tr><tr><td>장치 연결/해제</td><td>Microsoft-Windows-Storage-ClassPnP%4Operational.evtx</td><td>Windows 운영 체제에서 스토리지 관련 이벤트를 기록(플러그 앤 플레이(PnP) 스토리지 장치에 특화)</td><td>512</td></tr><tr><td>장치 진단 이력</td><td>Microsoft-Windows-Storage-ClassPnP%4Operational.evtx</td><td>Windows 시스템에 연결된 장치에 대한 진단 이벤트 (HDD, SSD, 외장하드, USB, 동글키 등)</td><td>500 <br>502 <br>503 <br>504 <br>505 <br>506 <br>507 <br>510 <br>512                                               </td></tr><tr><td>MTP 사용</td><td>Microsoft-Windows-WPD-MTPClassDriver%4Operational.evtx</td><td>MTP를 사용해 미디어 전송이 가능한 장치가 연결된 경우 드라이버 초기화 및 작업 로그 기록</td><td>1005: ‘&#x3C;제조사>,&#x3C;제품이름>,&#x3C;버전>’에 대해 사용자가 지정<br>1002: 장치가 유휴 상태로 전환</td></tr></tbody></table>

## 3. Case Study

### 외부저장매체 연결 확인

Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx 로그를 통해 외부저장매체 연결을 확인한다고 가정했을 때, 이벤트 로그의 이벤트 내용(Message) 부분에 “USBSTOR”라는 내용을 포함한다는 것을 활용한다. 따라서 외부저장매체 흔적 분석 시 이벤트 로그에서 \*message contains "USBSTOR” 구문을 이용해 외부저장매체 흔적만 필터링 하여 확인한다.

필터링된 이벤트 로그 데이터를 보면 LifetimeID 라는 데이터를 확인할 수 있다. LifetimeID는 장치 별로 부여되는 GUID 값이며, 이를 이용해 다수 장치의 연결-해제 기록에서 각 장치 별 연결-해제 시각을 구분할 수 있다.

<figure><img src="/files/X4bLFNqXXxTlkwXRYUvy" alt=""><figcaption></figcaption></figure>

이벤트로그의 Details - EventData - InastancdId에서 연결된 장치의 정보를 확인할 수 있다.

<figure><img src="/files/LTxpdxwFePkN6iGiqMEe" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://plainbit.gitbook.io/digital-forensics-wiki/windows/eventlog/undefined-1.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.