728x90
Jumplist
최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조
lnk와 밀접하게 연관
jumplist 제공을 하는 게 있고 안하는게 있다.
종류
- Automatic : 운영체제가 자동으로 남기는 항목
- Custom : 응용프로그램이 자체적으로 관리하는 항목
경로
- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
실습
우선 FTKimager에서
두 파일 가져오고, JumpList Explorer에서 불러온다
불러올 때는 Ctrl+a로 전체 선택
이렇게 에러나도 괜찮
jumplist는 앱 id별로 생성됨
windows explorer에서 선택했을 때 왼쪽 Entry가
파일 탐색기 우클릭 시 보이는 자주 방문하는 사이트 → 이 각각 하나하나가 lnk파일로 존재
이 도구 사용으로 jumplist 내부의 lnk 분석 가능 - lnk파일도 추출 가능
경로가 중요 → 어디를 방문했는지
chrome은 경로가 다 남음
오른쪽 Arguments 보면 most-visited도 남음
포렌식적 의미
사용자 흔적 추적
jumplist 안에 lnk가 존재
- 나중에 구조 부분 공부 추가하기
reference
728x90
'Forensics > 윈도우 아티팩트' 카테고리의 다른 글
| [Windows Forensic Artifacts - 6] AmCache & ShimCache (0) | 2023.03.12 |
|---|---|
| [Windows Forensic Artifacts - 5] MUICache (0) | 2023.03.12 |
| [Windows Forensic Artifacts - 3] LNK (0) | 2023.01.10 |
| [Windows Forensic Artifacts - 2] Prefetch (0) | 2022.04.03 |
| [Windows Forensic Artifacts - 1] Event Log (0) | 2022.04.01 |
댓글