Windows Forensics

윈도우 포렌식

Jumplist

개요

  • Windows7에서 새롭게 추가된 Artifacts
  • 응용프로그램별로 그룹화
  • 사용자가 자주 사용하거나 최근에 사용한 문서 또는 프로그램을 관리하는 링크 파일
    (미디어 파일은 제외)

포렌식 관점

  • 문서, 프로그램 실행 유무

  • 자주 사용하는 문서, 프로그램 정보 확인

  • 최근에 사용한 문서, 프로그램 정보 확인

  • 사용자의 행위 파악

  • 정보 유출 사건 분석

레지스트리 주요경로

번호 레지스트리 경로
1 C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent
2 C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestination
3 C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination
  • 분석가는 사용자의 응용프로그램 사용흔적 및 패턴을 파악 가능

    - 사용자가 직접 삭제하지 않는 이상 운영체제 설치 시 부터 지속적으로 로그가 저장 됩니다.
    - 따라서 이러한 사용자의 행위를 파악하거나 정보 유출 사건 분석에 도움이 됩니다.
    - %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent

  • 응용프로그램 실행

    응용프로그램 실행 시 작업표시줄에 표시되고 작업 표시줄에 나타나는 응용프로그램에
    마우스 우클릭하면 해당 응용프로그램으로 최근에 열었거나 사용했던 파일들을 확인할 수 있습니다.

  • Recent(최근항목):

    응용프로그램을 통해 최근 열람한 파일

  • Frequent(자주 사용하는 항목)

    응용프로그램을 통해 자주 열람하는 파일

  • Tasks(작업 항목)

    경우에 따라 미디어 재생, 새 문서 작성 등의
    기능을 빠르게 이용하기 위한 파일

  • Pinned(사용자 고정)

    응용프로그램의 사용이 종료되어도 작업 표시줄에
    응용프로그램아이콘을 남겨두기 위한 기능으로 사용자가
    자주 사용하는 응용프로그램일 가능성이 큽니다.

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
파일에 대한 링크를 관리하는 파일

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
최근 사용한 목록(Recent)이나 사용자가 고정(Pinned)시킨 목록

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
자주 사용되는 목록(Frequent)이나 작업(Tasks)목록

최근 항목에 표시되는 항목 수(점프리스트 항목 수)를 증가하는 법
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

빈 공간을 마우스 우 클릭 후 [ 새로 만들기 ]–[ DWORD(32비트)값 ]

새로운 항목 값 이름 설정 후 값 데이터에 임의 값 기록

최근 문서 항목 표시 끄기 [ Windows 설정 ]-[ 개인 설정 ]

[시작] 탭 -> 시작메뉴의 점프 목록 또는 작업 표시줄에 최근에 사용한 항목 표시 설정

Jumplist 프로그램별 파일 이름

각 파일의 이름은 무작위 값이 아닌 응용프로그램별로 고유한 값을 가지고 있습니다.

앱 ID 정보 사이트 : https://github.com/EricZimmerman/JumpList/blob/master/JumpList/Resources/AppIDs.txt

점프 목록 파일 이름(File name of Jump List) 응용프로그램(Applications)

좌측 운영체제 카테고리에서 점프목록 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
앱ID, 앱ID에 따른 응용프로그램 이름, 경로, 마지막 접근 시간, MAC 주소 확인이 가능하고
우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 JumpList 경로 확인 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Recent

C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

EnCase에서 Jumplist 경로 확인
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent

경로를 찾은 후 Jumplist 링크 파일 확인

AutomaticDestinations : 최근 사용한 목록(Recent)이나 사용자가 고정(Pinned)시킨 목록
CustomDestinations : 자주 사용되는 목록(Frequent)이나 작업(Tasks)목록

파일 이름은 모두 16자리의 16진수 형식의 값으로 이루어져있고, 확장자는 “.automaticDestination-ms”이다.

CustomDestinations 폴더도 확장자만 “.customDestinations-ms”로 다르고 나머지는 동일하다.

%UserProfile%AppData\Roaming\Microsoft\Windows\Recent

링크 파일의 기본 정보

링크 파일의 상세 정보

Chrome
Frequent / Tasks

Edge
Frequent / Tasks