Windows Forensics

윈도우 포렌식

Recent Files

개요

  • 사용자가 Windows 탐색기를 통해서 열거나 실행한 파일, 폴더 정보 저장
  • 최근 문서(Recent)와 동일하지만 확장자별로 그룹화
  • [시작]- “최근(Recent)” 메뉴에 데이터 저장

포렌식 관점

  • 사용자가 열거나 실행한 파일, 폴더 정보 확인

  • 문서, 폴더 실행 유무 확인

  • 사용자의 행위 파악

레지스트리 주요경로

번호 레지스트리 경로
1 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecntDocs
2 NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecntDocs

[시작] –”최근”메뉴에 데이터 저장

RecentDocs 경로 확인
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

하위키는 확장자 별로 구분하여 사용된 문서 정보 저장

최근 20 개의 파일 목록 유지

MRUListEX를 통해서 열어본 파일의 순서를 확인할 수 있습니다.

좌측 운영체제 카테고리에서 MRU 최근 파일 및 폴더 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
파일/폴더 이름, 마지막 수정 시간 정보를 확인 할 수 있고 우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 RecntDocs경로 확인 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Users\사용자\NTUSER.DAT

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

EnCase에서 RecentDocs를 분석하기 위해 먼저 NTUSER.DAT 하이브 파일의 경로 확인
C:\Windows\Users\사용자\NTUSER.DAT

NTUSER.DAT 파일은 HKEY_CURRENT_USER에 있는 모든 설정 정보를 담고 있습니다.

RecentDocs 경로 확인
NTUSER.DAT\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

경로를 찾아간 후 RecentDocs를 확인해 보면 확장자 별로 나누어져 있고
사용자가 Windows 탐색기를 통해 액세스하거나 실행한 파일을 확인할 수 있습니다.

%UserProfile%\NTUSER.DAT

[Open in Registry Viewer]

[Windows NT Registry]

[Open in Registry Viewer]

[Common Areas]

MruListEX: 파일의 접근 순서 기록

확장자 별 접근 기록

C:Users\NTUSER.DAT\마우스 우클릭\View -> 레지스트리 편집기

Software\MicroSoft\Windows\CurrentVersion\Explorer\RecentDocs\

확장자별로 최근 실행 파일 확인 가능