USBdeview timestamp quirk

USBdeview adalah sebuah program yang mampu "menerjemahkan" catatan pada registry windows yang berkaitan dengan koneksi USB. Mudahnya begini, aplikasi ini bisa membuat anda mengetahui USB device apa saja yang pernah dikoneksikan, kapan device tersebut dikoneksikan dan banyak informasi lain.

Saya sendiri seringkali menggunakan USBdeview dalam proses akuisisi live system. Karena selain mudah digunakan, dengan USBdeview, kita bisa dengan cepat mengetahui informasi dari device target.Karena memang tidak dirancang sebagai sebuah perangkat forensik digital, terdapat beberapa hal yang perlu diketahui dalam menggunakan perangkat semacam ini. Selalu lakukan pengujian terlebih dahulu untuk meyakinkan bahwa perangkat dimaksud akan menghasilkan informasi yang "forensically sound". Salah satu kendala yang dimiliki oleh USBdeview adalah informasi yang ditampilkan terkait created date. Permasalahannya sendiri tidak terdapat pada usbdeview sendiri, namun cara windows mencatat informasi tersebut pada registry.

Creation date dicatat pada HKLM\System\CurrentControlSet\Enum\USB\VID&PID, menariknya, pada sistem operasi Windows 7, key tersebut hanya meng-update pada insertion USB pertama setelah shutdown. Bila user melakukan hibernasi, maka USB device baru dapat di pasang tanpa mengupdate key tersebut, sampai nanti ketika user melakukan reboot kembali.

sumber:

[1]Some Pitfalls of Interpreting Forensic Artifacts in Windows Registry

[2]Nirsoft's USBdeview