Jumplist
jumplist란?
윈도우7부터 새롭게 추가된 아티펙트로, 사용자가 자주 사용하거나 최근에 사용한 문서 또는 프로그램을 관리하는 링크 파일이다.
저장 경로
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\
- AutomaticDestinations : 운영체제가 자동으로 남기며, 최근 사용목록 및 자주 사용되는 항목을 알 수 있다.
- CustomDestinations : 응용프로그램이 자체적으로 남기며, 작업목록 항목을 알 수 있다.
종류
- recent(최근 항목)
응용프로그램을 통해 최근 열람한 파일 - frequent(자주 사용하는 항목)
응용프로그램을 통해 자주 열람하는 파일 - pinned(사용자 고정)
응용프로그램의 사용이 종료되어도 사용자가 작업 표시줄에 아이콘을 남겨둔 파일 - tasks(작업)
응용프로그램에서 지원하는 작업 목록 - other types
최근 닫은 창, top sites 등
활용
- 문서/프로그램의 실행 유무를 판단할 수 있다.
- 자주 사용하는 문서/프로그램의 정보를 확인할 수 있다.
- 최근에 사용한 문서/프로그램의 정보를 확인할 수 있다.
- 사용자의 행위를 파악할 수 있다.
사용자가 직접 삭제하지 않는 이상 운영체제 설치 시점부터 지속적으로 로그가 저장된다.
따라서 애플리케이션의 사용 패턴을 추적할 수 있다. - 외부 저장 장치에 접근한 기록을 확인할 수 있다.
- 사용자가 방문했던 웹사이트 URL을 확인할 수 있다.
Jumplist Explorer 사용법
먼저 kape를 사용해 관련 파일을 추출한다.
jumplist explorer을 열어 추출한 파일을 load한다.
다양한 정보를 확인할 수 있다.
참고 링크: http://www.forensic-artifact.com/windows-forensics/jumplist
디지털 포렌식 아티팩트 & 증거 분석 기법 공유 | 인섹시큐리티
[증거]테이블의 상단 칼럼 정보를 통해 앱ID, 앱ID에 따른 응용프로그램 이름, 경로, 마지막 접근 시간, MAC 주소 확인이 가능하고 우측 [세부 정보]테이블을 통해서도 확인 가능
www.forensic-artifact.com
'디지털포렌식' 카테고리의 다른 글
| Thumbnail cache와 Icon cache, Thumbcache Viewer 사용법 (0) | 2024.11.04 |
|---|---|
| BrowsingHistoryView, Hindsight (2) | 2024.10.31 |
| 프리패치(Prefetch), PECmd와 WinPrefetchView 사용법 (2) | 2024.10.02 |
| 이벤트 로그, EvtxECmd 사용법 (2) | 2024.09.23 |