Jumplist
개요
- Windows 7에서 새롭게 추가된 Artifacts
- 응용 프로그램별로 그룹화
-
사용자가 자주 사용하거나 최근에 사용한 문서 또는 프로그램을 관리하는 링크 파일
(미디어 파일은 제외)
포렌식 관점
문서, 프로그램 실행 유무 판단
자주 사용하는 문서, 프로그램 정보 확인
최근에 사용한 문서, 프로그램 정보 확인
사용자의 행위 파악
정보 유출 사건 분석
파일 주요경로
| 번호 | 점프 리스트 파일 경로 |
|---|---|
| 1 | C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent |
| 2 | C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestination |
| 3 | C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination |
-
응용프로그램 사용 흔적 및 패턴 파악
- 사용자가 직접 삭제하지 않는 이상 운영체제 설치 시 부터 지속적으로 로그가 저장 됩니다.
- 따라서 사용자의 행위를 파악하거나 정보 유출 사건 분석 등에 활용 되어진다.
- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent -
응용프로그램 실행
응용프로그램 실행 시 작업표시줄에 표시되고 작업 표시줄에 나타나는 응용프로그램에
마우스 우클릭하면 해당 응용프로그램으로 최근에 열었거나 사용했던 파일들을 확인할 수 있습니다.
-
Recent [ 최근항목 ]
응용프로그램을 통해 최근 열람한 파일
-
Frequent [ 자주 사용하는 항목 ]
응용프로그램을 통해 자주 열람하는 파일
-
Tasks [ 작업 항목 ]
경우에 따라 미디어 재생, 새 문서 작성 등의
기능을 빠르게 이용하기 위한 파일 -
Pinned [ 사용자 고정 ]
응용프로그램의 사용이 종료되어도 작업 표시줄에
응용프로그램의 아이콘을 남겨두기 위한 기능으로 사용자가
자주 사용하는 응용프로그램일 가능성이 높습니다.
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
파일에 대한 링크를 관리하는 파일
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
최근 사용한 목록(Recent) 또는 사용자가 고정(Pinned) 시킨 목록
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
자주 사용되는 목록(Frequent) 또는 작업(Tasks) 목록
최근 항목에 표시되는 항목 수 (점프리스트 항목 수)를 증가 시키는 방법
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
빈 공간을 마우스 우 클릭 한 후 [ 새로 만들기 ] – [ DWORD(32비트)값 ]
새로운 항목 값 이름 설정 후 값 데이터에 임의 값 기록
최근 문서 항목 표시 끄기 [ Windows 설정 ] - [ 개인 설정 ]
[시작] 탭 -> 시작메뉴의 점프 목록 또는 작업 표시줄에 최근에 사용한 항목 표시 설정
Jumplist 프로그램별 파일 이름
각 파일의 이름은 무작위 값이 아닌 응용프로그램별로 고유한 값을 가지고 있습니다.
앱 ID 정보 사이트 : https://github.com/EricZimmerman/JumpList/blob/master/JumpList/Resources/AppIDs.txt
| 점프 목록 파일 이름 [ File name of Jump List ] | 응용프로그램 [ Applications ] |
|---|
좌측 운영체제 카테고리에서 점프목록 아티팩트 클릭
[증거]테이블의 상단 칼럼 정보를 통해
앱ID, 앱ID에 따른 응용프로그램 이름, 경로, 마지막 접근 시간, MAC 주소 확인이 가능하고
우측 [세부 정보]테이블을 통해서도 확인 가능
[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 JumpList 경로 확인 가능하고
하이퍼링크를 클릭하면 자동으로 이동
C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Recent
C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
EnCase에서 Jumplist 경로 확인
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
경로를 찾은 후 Jumplist 링크 파일 확인
AutomaticDestinations : 최근 사용한 목록(Recent)이나 사용자가 고정(Pinned)시킨 목록
CustomDestinations : 자주 사용되는 목록(Frequent)이나 작업(Tasks)목록
파일 이름은 모두 16자리의 16진수 형식의 값으로 이루어져있고, 확장자는 “.automaticDestination-ms”이다.
CustomDestinations 폴더도 확장자만 “.customDestinations-ms”로 다르고 나머지는 동일하다.
%UserProfile%AppData\Roaming\Microsoft\Windows\Recent
링크 파일의 기본 정보
링크 파일의 상세 정보
Chrome
Frequent / Tasks
Edge
Frequent / Tasks
MAESTRO WiSDOM의 다양한 모듈 중 WiSDOM Windows 선택
Jumpliset 수집
WiSDOM Windows에서 제공하는 220개 이 아티팩트(Artifacts) 선택
Jumpliset 수집
점프 리스트 파일 아티팩트는 [ 운영체제 ] 그룹에 포함되어 있으며
[ Select All ]을 통해 모든 아티팩트 수집 또는 [ Jumplist ] 아티팩트를 선택하여 단일 아티팩트 수집 가능
수집 완료된 결과는 [운영체제] - [jumplist] 카테고리를 통해 확인 가능
[ File Name ] 컬럼과 [ AppID ] 값을 기반으로한 [ Application Name ] 컬럼을 통해 어떤 문서 실행시 연결된 응용프로그램 정보 분석 가능
링크파일 스트럭처 분석을 이용한 대상 파일의 [ MACTime ] 정보 제공
가로보기 방식을 세로보기 방식으로 변경하는 [ Artifacts Detail Information ] 박스를 이용하여 주요 메타데이터 정보를 한눈에 확인 가능
원본 파일의 파일 시스템 위치와 점프 리스트 구조 파일내 위치정보까지 상세한 소스정보 표기
오픈소스인 JumpListsView v1.16 프로그램은 점프 목록에서 찾은 모든 정보 표시
파일 이름, 이벤트 날짜/시간, 파일을 여는 데 사용 된 애플리케이션의 ID, 파일 크기/시간/속성 등 확인 가능
