관심 세미나 등록

원하시는 세미나를 사전 등록하시면
세미나 오픈시 우선적으로 자동 신청되어 알려드립니다.

* 세미나 개최는 신청자가 많은 순으로 결정됩니다.

입사 지원

인섹시큐리티에서는 신입/경력부문 상시채용과 공개채용 방식을 같이 진행하고 있습니다
제출한 이력서 기반으로 지원자격 심사평가를 진행합니다.

Windows Forensics

윈도우 포렌식

Open / Save MRU

개요

  • Windows XP의 OpenSaveMRU 이름이 Windows Vista 부터 OpenSavePidlMRU로 변경
  • Windows 탐색기 공용 대화 상자를 통해 최근에 열거나 저장된 파일 정보 저장
  • Web Browsers 및 Applications을 통해 열거나 저장한 파일 정보 저장
  • 파일의 확장자 별로 그룹화

포렌식 관점

  • 사용자가 최근에 열거나 저장한 파일 확인

레지스트리 주요경로

번호 레지스트리 경로
1 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
2 HKU\[SID]\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
3 NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU

HKU\[SID]\Software\Microsoft\Windows\CurrnetVersion\Explorer\ComDlg32\OpenSavePidlMRU

하위 키를 보면 확장자 별로 그룹화가 이루어져 있고 최근에 열거나 저장된 20개 파일이 저장되어 있습니다.

좌측 운영체제 카테고리에서 MRU 열린/저장된 파일 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
파일이름, 경로를 확인 할 수 있고 우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 OpenSavePidMRU 경로 확인 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Users\사용자\NTUSER.DAT

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU

EnCase로 OpenSavePidMRU를 분석하기 위해서는 먼저 NTUSER.DAT 하이브 파일의 경로 확인
C:\Users\사용자\NTUSER.DAT

NTUSER.DAT 파일은 HKEY_CURRENT_USER에 있는 모든 설정 정보를 담고 있습니다.

OpenSavePidMRU의 경로는 NTUSER.DAT\Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ComDlg32 \ OpenSavePidlMRU

경로를 찾아간 후 OpenSavePidlMRU를 하위 폴더를 보면 확장자 별로 그룹화가 이루어져 있고 최근 열거 나 저장 한 파일의 목록을 확인할 수 있습니다.

%UserProfile%\NTUSER.DAT

[Open in Registry Viewer]

[Windows NT Registry]

[Open in Registry Viewer]

[Common Areas]

CIDSizeMRU : 사용자가 최근에 사용한 응용프로그램 정보

FirstFolder : 사용자가 최근에 사용한 앱과 사용자가 저장한 파일 목록 정보

LastVisitedPidlMRU : 사용한 응용 프로그램과 해당 응용 프로그램이 파일을 여는 데 사용한 마지막 경로

OpenSavePidlMRU: 최근 열거나 저장한 파일정보와목록이 그룹화

C:Users\NTUSER.DAT\마우스 우클릭\View -> 레지스트리 편집기

CIDSizeMRU : 사용자가 최근에 사용한 응용프로그램 정보

CIDSizeMRU : EnCase 실행 흔적

CIDSizeMRU : EnCase 실행 흔적

CIDSizeMRU : Chrome.exe 실행 흔적

CIDSizeMRU : Chrome.exe 실행 흔적

FirstFolder : 사용자가 최근에 사용한 앱과 사용자가 저장한 파일 목록 정보

FirstFolder : i2를 실행하기 위해 사용한 폴더 흔적

FirstFolder : i2를 실행하기 위해 사용한 폴더 흔적

LastVisitedPidlMRU : 사용자가 열어본 최근 문서 정보

LastVisitedPidlMRU : Chrome.exe 실행 정보

LastVisitedPidlMRU : Chrome.exe 실행 정보

OPenSavePidlMRU : 최근 사용자가 실행하고 저장한 파일 목록

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\ComDlg32\OpenSavePidMRU

- 오픈소스인 OpenSaveFilesView v1.15 프로그램은 탐색기 공용 대화 상자 및 Web Browsers를 통해 열거나 저장한 파일 목록을 표시

- 목록의 모든 파일에는 파일 이름, 확장자, 순서, 시간 (모든 파일 유형의 마지막으로 열린 파일), 파일의 수정/생성 시간, 파일 크기 및 파일 특성 확인 가능