Tuesday, September 06, 2005

USB device descriptors and serial numbers

Whenever I've talked about USB storage devices and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir serial numbers, someone always seems to ask me, "If I have an image of a thumb drive, can I find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serial number somewhere in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image?"

My answer to this question has been, "Why not go back and take a look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image with a hex editor...or at least, say, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first megabyte of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 image, and tell me if you find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serial number listed?" After all, you can see if a USB device has a serial number (and if so, what it is) using tools like UVCView. Well, so far, I haven't received any email from someone who's done this, so I started taking a look into this myself.

The answer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question is simply, "No." The reason for this answer is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device descriptor is usually stored in EPROM, Flash, or some form of ROM, and is not read when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device is imaged using tools like 'dd'. Generally speaking, you wouldn't want to allow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device descriptor to be modified, as a user could alter some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data, causing an incorrect driver to be loaded, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device could potentially cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n be unusable.

Therefore, I'd like to make a suggestion to law enforcement (and everyone else) when it comes to imaging USB storage devices. Make sure that you have a tool like UVCView (or whatever is suitable or available for your platform) on hand as part of your imaging kit, and copy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device descriptor from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device as part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 imaging process.

One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 elements of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device descriptor is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor ID, which is assigned by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fine folks at USB.org. This information can be used in a manner similar to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first couple of octets of a MAC address; ie, to identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product.

2 comments:

numist said...

cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device descriptor itself doesn't contain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serial number eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 serial number is stored in a string descriptor; cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device descriptor only holds cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 index of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 string descriptor (or 0 if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device doesn't have one).

if you want to truly image a USB device, you need to probe and store all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 descriptors.

H. Carvey said...

numist,

Thanks.

> if you want to truly image a USB device...

Do you have any recommendations for doing so?