X-Ways Forensics

실무 활용 매뉴얼

Open / Save MRU 분석 [ by 김종광 ]

Open / Save MRU
OpenSavePidMRU 파일을 분석하기 위해 OS가 설치되어 있는 파티션을 선택합니다.

Open / Save MRU
화면의 순서대로 경로를 이동하여 NTUSER.DAT 파일을 확인합니다.

Open / Save MRU
Hive 파일 분석을 위해 위 순서대로 View 옵션을 실행합니다.

Open / Save MRU
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\ComDlg32\OpenSavePidMRU 이동합니다.

Open / Save MRU
OpenSavePidMRU 하위 폴더에 실행된 파일의 확장자 기준으로 기록이 저장됩니다.

Open / Save MRU 메타데이터 정보

  • 1. 최근 실행된 파일의 확장자 폴더

  • 2. 선택한 폴더(확장자)에서 실행된 파일의 순서

  • 3. 선택한 레지스트리 값의 디코딩 값

Open / Save MRU
가장 최근에 실행된(1번) txt 파일의 이름을 확인할 수 있습니다.