[FTK] 링크 파일과 점프 리스트 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 날씨가 화창하네요. 선선한 바람이 불기 시작했습니다. 가을이 오려나 봅니다. 윈도우 바로가기 파일과 점프 리스트에 대하여 설명합니다. 오늘은 그 첫번째 시간입니다.

 

Link Files

아래의 항목으로 바로 연결되는 파일입니다.

- 로컬 또는 네트워크 프로그램

- 파일

- 폴더

- 컴퓨터

- 웹 주소

.LNK, .URL 확장자로 존재합니다.

 

링크파일에서 확인 가능한 정보

- Target item(원본 파일)의 생성 날짜

- Target의 전제 경로

- NETBIOS 이름

- Target을 포함하는 시스템의 MAC 주소 등

 

XP의 경우 링크파일의 저장 위치

Documents and Settings\<username>\Recent

 

 

Windows 7 이후의 Link Files 

OS는 파일을 열 때, Recent 폴더 안의 해당 링크파일이 있는지 여부를 먼저 확인한 다음, 없으면 새로운 링크파일을 만들고, 있으면 시간정보 등을 갱신합니다.

 

MAC 주소와 NetBios 이름

원본파일이 NTFS에 저장 되어 있을 때에만 링크파일에 기록됩니다.

 

링크파일의 저장 위치와 참고사항

\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent

AutomaticDestinations 라는 복합파일(Compound File) 형식으로 존재합니다.

Jump List에 포함된 정보를 LNK 파일과 함께 보여줍니다.

Windows 7에서는 ‘빠른 실행(Quick Launch)’이 기본적으로 제공되지 않습니다. 대신 ‘이 프로그램을 작업표시줄에 고정(pinning)’ 기능으로 대체하였습니다.

 

 

Jump Lists

윈도우 7에서 새롭게 등장하였습니다.

점프 리스트는 ‘시작 메뉴(Start Menu)’와 ‘작업 표시줄(Task bar)’에서 볼 수 있습니다.

기본적으로 10개의 엔트리가 기록됩니다.

모든 Microsoft 프로그램은 Jump Lists를 가지고 있습니다.

점프 리스트는 기본적을 활성화 되어 있습니다.

Aero Peek 와 구별하여야 합니다.

 

 

작업표시줄에 고정시킨(pinning) 프로그램에 대한 흔적은 다음 위치에서 찾아야 합니다.

User\<username>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Taskbar

CustomDestinations에서도 확인 가능합니다.

 

 

Jump Lists를 구성하는 MS List의 모든 파일을 볼려면 EP(Evidence Processor) --> Expand Compound File을 실행해야 함

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)