Jumplist : 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조
종류
• Automatic : 운영체제가 자동으로 남기는 항목
• Custom : 응용프로그램이 자체적으로 관리하는 항목
경로
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
Prefetch : 응용프로그램의 빠른 실행을 위해서 존재하는 파일
응용프로그램을 실행할 때에 생성
• 실행 파일 이름, 경로
• 실행 파일의 실행 횟수
• 실행 파일의 마지막 실행 시간
• 실행 파일의 최초 실행 시간
점프 목록
Recent
• 사용자가 최근 접근한 파일이나 폴더
Frequent
• 사용자가 빈번히 접근한 파일이나 폴더
Tasks
• 응용프로그램에서 지원하는 작업 목록
Pinned
• 사용자가 고정 시킨 작업 목록
점프 목록의 활용
- 포렌식적 의미
• 사용자의 응용프로그램 사용 흔적 및 패턴을 파악
• 윈도우 7에서 기본 활성화
• 최근 접근 문서(Recent)나 UserAssist 키보다 더 많은 정보 포함
• 사용자가 직접 삭제하지 않는 이상 운영체제 설치 시부터 지속적으로 로그 저장
• 사용자의 행위를 파악하거나 정보 유출 사건 분석에 큰 역할
점프 목록 구조
- 저장 경로
• Recent 폴더 하위에 저장
- AutomaticDestinations
• 운영체제가 자동으로 남기는 항목
• 최근 사용한 목록(Recent)이나 자주 사용되는 목록(Frequent)
- CustomDestinations
• 응용프로그램이 자체적으로 관리하는 항목
• 작업(Task) 목록
App ID
- 파일명
• 각 응용프로그램 별로 고유한 16자리 사용
- 구조
점프 목록 파일 구조
• OLE Compound 파일 구조를 사용
• 점프 목록 각 아이템을 OLE 스트림(바로가기 파일)으로 저장
점프 목록 카빙
OLE
• 카빙된 문서 파일에서 점프 목록 분리
• 점프 목록 OLE 형식은 모두 기본 3개의 스트림을 가짐 → 초기 3개의 스트림 검증(Root Entry, Root Entry\1, Root Entry\DestList )
'디지털포렌식' 카테고리의 다른 글
| 디지털포렌식 - 디지털 포렌식 관련 법률(디지털 증거의 압수수색 (0) | 2024.03.19 |
|---|---|
| OlympicDestroyer - Volatility Contest 2018 풀이 (1)~(3) (0) | 2024.01.17 |
| [3] $MFT 개념 및 실습 ~ 바로가기(.LNK)개념 및 실습 (0) | 2023.11.07 |
| [3] Windows 포렌식 개요 & Registry 개요 ~ Windows Registry 실습(2) (1) | 2023.10.11 |
| [2] 도구 설치 ~ CTF-d, GrrCon 2015 풀이 (1) | 2023.10.04 |
