윈도우 레지스트리 (USBSTOR 키)와 setupapi.log로부터 USB 장치 내역 삭제하기
윈도우 레지스트리 (USBSTOR 키)와 setupapi.log로부터 USB 장치 내역 삭제하기
2009년 4월 21일에 Max가
이 글은 USBSTOR 레지스트리 키와 setupapi.log 파일을 삭제하는 방법에 대한 내용을 담고 있다. 이 두 대상물은 USB 장치가 시스템에 연결되었었다는 정보를 가지고 있다.
이 글이 담고 있는 내용과 더불어, 독자가 반드시 알아야 할 다른 것도 있다. 어떤 경우에는 레지스트리 키나 파일을 그냥 지우는 것으로는 충분치 않다.
USBSTOR 레지스트리 키
USBSTOR 레지스트리 키는 USB 장치들이 시스템에 연결되었을 때 생성되는 하위키를 담고 있다. Windows XP 시스템 상에서 레지스트리 키의 위치는 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 이다.
예를 들어, 필자가 Windows XP 가상머신을 새로이 설치하고, 하나의 USB 메모리 스틱(USB thumb drive)를 꽂는다. 그러면 A subkey under USBSTOR 레지스트리 키 밑에 USB 메모리 스틱 정보를 기반으로 하위키가 생성된다. 필자는 OCZ Rally USB thumb drive를 사용하고 있다. 아래의 화면캡쳐를 참고하라.
[그림 ] USBSTOR 하위키
이 레지스트리 키와 하위키를 삭제하기 위해서, 먼저 키에서 마우스의 오른쪽 버튼을 누르고, “사용 권한(permissions)”을 선택한다. 그리고 Everyone의 사용권한을 모두 허용해준다. 이렇게 함으로써 키를 삭제할 수 있다. 이 과정을 자동화하는 프로그램이나 스크립트를 작성하는 것은 그다지 어렵지 않을 것으로 확신한다.
그러면, 키를 삭제했으므로 다 되었다. 정말로 그럴까?
아니, 아마도. 시스템 복구 기능이 활성화되어 있다면, 이 키의 복사본들이 각 시스템 복구 지점에 복사되어 있을 것이다. 본인이 실행하고 있는 레지스트리 소프트웨어가 어떤 것인지에 대해서도 잘 알아야만 한다. 조금 있다가 언급할 “CCleaner”조차도 레지스트리를 백업할 것인지 자동으로 물어보는 레지스트리 청소도구를 가지고 있다.
setupapi.log 평문 로그 파일
setupapi.log 파일은 Windows XP에서 %windir% 디렉토리에 위치하고 있다. setupapi.log는 시스템에 접속되었던 USB 장치의 드라이버 설치에 대한 내용과 그 이외의 다양한 내용을 담고 있다. 이것은 진실로 대상물들의 작은 보물상자이고, 반드시 살펴보고 넘어가야 한다. 아래에 있는 USB OCZ Rally thumb drive를 꽂았던 가상머신 상에 존재하는 setupapi.log 파일의 화면캡쳐를 보아라.
[그림 ] setupapi.log 파일
왜 이 로그를 없애기를 원하는가?
아마도, 만약 조사자가 시스템에 접속되었었던 장치들이 무엇인지 알기를 원한다면, 그가 봐야할 것들 중에서 이 파일을 살펴보는 것이 그 중의 하나일 것이다.
로그를 제거하는 가장 좋은 방법은 무엇일까?
그냥 삭제해라. CCleaner(http://www.piriform.com/ccleaner)와 같은 완전 삭제 프로그램으로 한번의 완전삭제를 해주는 것이 좋다. CCleaner를 사용하고 있지 않다면, 사용해야 할 것이다. CCleaner 안에 있는 모든 설정들을 확인하고, 아래의 화면 캡쳐와 동일하게 파일들에 대해서 한번의 완전 삭제를 수행할 수 있도록 설정한다. 그렇지 않으면 일반적인 데이터 복구 기술에 의해서 삭제된 로그 파일을 복구하는 것이 가능하다.
다시 한번 말하지만, CCleaner가 완전 삭제를 한번 이상 하는 것은 시간을 낭비하는 것일 뿐이다. (전에 쓴 글에서 밝혔듯이,)
http://www.anti-forensics.com/disk-wiping-one-pass-is-enough-part-2-this-time-with-screenshots
CCleaner에는 완전 삭제 과정에 포함될 임의의 파일들이나 디렉토리들을 추가할 수 있다. 여기가 바로 C:\windows 디렉토리에 있는 setupapi.log 파일을 추가해야 하는 곳이다. 아래의 화면 캡쳐와 같이 하면 된다.
[그림 ] 한번의 완전 삭제 - CCleaner
[그림 ] CCleaner Include Custom File
setupapi.log 파일에 어떤 내용들이 저장되는 것에 대한 보단 많은 정보를 원한다면, 마이크로소프트에 있는 이 글을 보면 된다.
http://www.microsoft.com/whdc/driver/install/setupapilog.mspx
CCleaner를 전에 사용해 본 적이 없다면, 시스템에 존재하는 여러 임시 파일들에 대해서 적용하여 사용해 보기를 권장한다. 무엇보다도 중요한 것은 단순히 파일을 지우는 것이 아니라 파일을 완전히 삭제하는 기술을 습득하는 것이다.
이 글에 도움이 되는 어떤 좋은 팁이나 제안이 있다면, 아래에 답글로 추가하여 여러 사람들과 공유하는 것을 권장한다.
연관된 글들:
1. Disable Thumbnail Caching and Wipe Thumbs.db files on a Windows XP System
2. How to Delete Google History – Google Chrome Artifacts and Google Chrome History
3. How to Delete Google History – Clear Google Toolbar History