오늘은 윈도우 아티팩트 중 JumpList(점프리스트)에 대해 알아보고 이를 분석하기 위한 툴인 JumpList Explorer를 리뷰해보겠습니다.
JumpList란?
Window 7이후로 부터 볼 수 있는 Windows Artifact로 최근 혹은 자주 접근한 자원을 관리할 수 있는 Taskbar 기능을 이야기 합니다.
저장 위치
%UserProfile%\Appdata\Roaming\Microsoft\Windows\Recent
- Automatic Destination : 위도우에 의해서 관리되는 점프리스트 파일
- Custom Destination : 애플리케이션에 의해서 관리되는 점프리스트 파일
Jump List Item의 종류
- Recent : 최근에 접근한 파일과 폴더
- Frequent : 자주 접근한 파일과 폴더
- Pinned : 사용자가 고정한 항목
- Tasks : 어플리케이션에 의해 지원되는 task
- Other Types : Top Sites, Recently Closed 등
Jump List File Format
Automatic Destination의 경우
- CFDF(Compounded File Binary Format, 복합 파일 이진 형식)
- 각 점프리스트 아이템들은(.LNK data) 는 CFDF의 스트림에 저장이 된다
Custom Destination의 경우
- Shell Link(.LNK) 파일 세그먼트로 구성되어 있다
- LNK 파일은 헤더 사이즈가 76byte의 고정 크기이고 class identifier(LNK GUID)는 00021401-0000-0000-C000-000000000046
JumpList를 포렌식에서 이용하는 방법?
- 특정 애플리케이션의 실행 시간을 알 수 있다.
- 열었던 문서들을 확인할 수 있다
- 방문한 URL들을 확인할 수 있다
- 최근, 자주 열었던 파일들을 확인할 수 있다
- 외부 저장 장치안에 있는 파일들을 추적할 수 있다
- 해당 과정의 분석을 통해 사용자의 어플리케이션 사용 패턴등을 파악할 수 있다.
- 특히, 점프리스트 아이템들은 사용자가 삭제하지 않는 이상 계속 누적된다!
JumpList Explorer 리뷰
우선 JumpList Explorer를 사용하기 전에 KAPE를 사용해서 관련 파일을 추출하겠습니다.
추출한 결과를 JumpList Explorer를 이용해 확인해보겠습니다.
윈도우애 대한 것도 있고 다양한 어플리케이션에서 생성하고 관리하는 점프리스트도 보입니다.
저는 스팀게임을 자주 하는 편인데 steam application과 관련한 점프리스트를 좀 찾아봤습니다.
개인 정보에 대한 부분은 가려놨습니다!
JumpList Explorer 에서는 lnk 파일을 상세하게 볼 수있는 기능 또한 지원합니다.
파일의 헤더 크기나 path가 어떻게 되는지에 대한 기본정보 그리고 어떤 게임을 어떤 시간에 다운로드 받았는지 또한 확인할 수 있었습니다.
PPICO PARK라는 게임을 다운받은 것과 관련한 LNK 파일이었고 23년 12월 5일 대략 오전 6시(UTC+00:00)에 게임을 다운받은 내역을 확인할 수 있었습니다.
'디지털포렌식' 카테고리의 다른 글
| [디지털포렌식] Prefetch와WinPrefetchView, PECmd 리뷰 (0) | 2025.02.10 |
|---|---|
| [디지털포렌식] 웹브라우저 아티팩트와 BrowsingHistoryView, Hindsight 리뷰 (0) | 2025.02.10 |
| [디지털포렌식] Thumbnail(썸네일), Icon Cache와 Thumbcache Viewer 리뷰 (0) | 2025.02.10 |
| [디지털포렌식] NTFS Log Tracker 리뷰 (0) | 2025.02.10 |
| [디지털포렌식] 스테가노그래피 (Steganography) (0) | 2025.02.10 |