Windows 아티팩트 중 하나인 Jump List(점프리스트)와 이를 분석하기 위한 툴인 Jumplist Explorer의 사용법에 대해 알아보자.
1. Jump List(점프리스트)란?
사용자가 최근에 엑세스한 항목이나 자주 액세스한 항목을 관리하기 위한 작업 표시줄 기능이다. 윈도우 7 이상 버전에서 아티팩트로 저장된다.
점프리스트 파일들은 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\ 경로에 위치하며 AutomaticDestinations와 CustomDestinations으로 나누어진다.
- AutomaticDestinations
Windows가 관리하는 점프리스트 파일들이다.
OS에 의해 자동으로 기록되며, 이를 통해 최근 혹은 자주 사용한 항목들의 목록을 확인할 수 있다.
- CustomDestinations
어플리케이션이 관리하는 점프리스트 파일들이다.
어플리케이션에 의해 기록되며, 이를 통해 작업 목록을 확인할 수 있다.
2. Jump List의 종류
- Recent(최근 항목)
가장 최근에 접근한 파일 및 폴더
- Frequent(자주 사용하는 항목)
사용자가 자주 사용하는 파일 및 폴더
- Pinned(사용자 고정 항목)
사용자가 작업 표시줄에 고정해두어 어플리케이션이 종료되어도 작업표시줄에 남아있는 항목
- Tasks(작업 항목)
어플리케이션에 의해 지원되는 작업 항목
이외에도 Top sites(상위 사이트), Recently closed(최근에 닫은 항목) 등이 있다.
이러한 Jump List를 포렌식을 위해 사용한다면 실행 중인 어플리케이션이나 열려있는 문서, 방문했던 URL, 최근에 이용했던 어플리케이션 및 문서, 자주 사용하는 어플리케이션 및 문서, 어플리케이션 이용 패턴, 외부 저장장치에 저장된 파일 추적 등이 가능하다.
또한, 사용자가 점프리스트 파일을 삭제하지 않는 한 내용들이 계속해서 누적되는 특징을 가지고 있다.
3. Jump List 파일 포맷
Jump List의 파일 포맷은 점프리스트 파일이 AutomaticDestinations와 CutomDestinations 중 어떤 파일인지에 따라 파일 포맷이 다르다.
- AutomaticDestinations
AutomaticDestinations 점프리스트 파일은 CFBF(Compound File Binary Format, 복합파일이진형식)이다.
각 점프리스트 파일들은 .LNK 형식의 데이터로 CFBF 내에 stream으로 저장된다.
특히 DestList stream은 가장 최근에, 가장 자주 사용했던 항목들의 리스트를 포함한다.
- CustomDestinations
CustomDestinations 점프리스트 파일은 쉘링크(.LNK) 파일 포맷 세그먼트로 구성되어 있다.
LNK 파일의 파일 시그니처를 확인해보면, 파일의 헤더 사이즈는 0x0000004c, 76바이트로 고정된 길이이다. 이 뒤로는 LNK 파일의 GUID가 이어지는데, 이는 쉘링크를 식별하기 위한 것으로 00021401-0000-0000-C000-000000000046의 값을 갖는다.
4. Jump List 분석
Jump List 파일들은 KAPE에서 LnKFilesAndJumpLists를 추출하면 얻을 수 있다. 이를 분석하기 위한 툴에는 JumpListView, JumpListExplorer 등이 있는데 이번 게시물에서는 JumpListExplorer의 사용법에 대해 알아볼 것이다.
프로그램은 아래 링크에서 다운로드 받을 수 있다.
https://ericzimmerman.github.io/#!index.md
MDwiki
ericzimmerman.github.io
다운로드한 JumpListExplorer.exe를 실행시켜 추출한 점프리스트 파일들을 로드해주면 아래와 같은 화면이 보일 것이다.
각 점프리스트 파일들의 파일 타입과 어플리케이션 ID, 점프리스트 파일 내의 LNK 파일 개수, 파일 사이즈 등이 나열된다.
위 사진에서는 0개의 LNK 파일을 갖는 파일을 선택에 우측 하단에 아무것도 뜨지 않았지만, LNK 파일을 포함하고 있는 점프리스트를 선택하면 각 LNK의 엔트리 인덱스, 생성 시각, 수정 시각, 접근 시각, 파일 경로 등을 확인할 수 있다.
따라서 이를 이용해 본인이 원하는 정보를 활용하면 된다.
감사합니다!
*Windows 가상머신을 이용한 실습법입니다.
'디지털포렌식' 카테고리의 다른 글
| [디지털포렌식] 스테가노그래피 분석 (1) | 2024.12.05 |
|---|---|
| [디지털포렌식] NTFS Log Tracker 사용법 (0) | 2024.11.25 |
| [디지털포렌식] Thumbnail Cache(썸네일 캐시), Icon Cache(아이콘 캐시)와 Thumbcache Viewer 사용법 (1) | 2024.10.12 |
| [디지털포렌식] 웹 아티팩트 분석 BrowsingHistoryView, Hindsight 사용법 (1) | 2024.10.12 |
| [디지털포렌식] Windows Prefetch와 PECmd, WinPrefetchView 사용법 (4) | 2024.10.12 |