- 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다
https://isc9511.tistory.com/182
* Jump List
- Windows에서 최근 사용한 파일 및 폴더에 빠르게 접근하기 위해 만든 구조
- .lnk(링크 파일)로 관리되며 사용자의 행위 파악에 도움이되는 아티팩트이다.
- 일반적으로 시작 표시줄의 아이콘에서는 기본 활성화 상태
(단, 탐색기는 옵션이 별도로 활성화 되어 있어야 Jump list 가 로깅됨)
* JumpList 분류
- 각 파일의 이름은 응용 프로그램 별 고유한 값(AppID)로 저장되며 아래 점프리스트 AppID 목록을 참조할 수 있다
https://github.com/EricZimmerman/JumpList/blob/master/JumpList/Resources/AppIDs.txt
| AutomaticDestinations - OS가 자동으로 남기는 항목 |
Recent | * 사용자가 최근 접근한 파일이나 폴더 |
| Pinned | * 사용자가 임의로 고정시킨 항목 |
|
| CustomDestinations - 응용프로그램이 자체 관리하는 항목 |
Frequent | * 사용자가 빈번히 접근한 파일 또는 폴더 |
| Tasks | * 선택한 응용 프로그램에서 지원하는 작업 목록 |
- 저장 경로는 '%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\'이며, 각각 AutomaticDestinations 및 CustomDestinations로 저장되어 있다
* JumpLister
- Jump List 파일을 분석할 수 있는 툴이며 점프리스트 경로의 모든 파일 추출 후, Load하여 확인을 진행함
- 이후, JumpLister 실행 후 Automatic인지 Custom인지, 유형을 지정하고 Load
- 로드 완료 시, 특정 정보를 클릭하면 하단 탭에 확인할 수 있는 정보들이 나온다(시간 출력은 UTC+0이니 주의)
'Information Security > Digital Forensic' 카테고리의 다른 글
| [Digital Forensic] NTFS Log Tracker (1) | 2024.09.27 |
|---|---|
| [Digital Forensic] Prefetch (0) | 2024.09.27 |
| [Digital Forensic] 네트워크 정보 확인 (0) | 2024.09.26 |
| [Digital Forensic] Print 정보 확인 (1) | 2024.09.24 |
| [Digital Forensic] Email 정보 확인 (0) | 2024.09.24 |
