안녕하세요. 도깬리 포렌식스 입니다.
오늘은 링크파일과 점프리스트 2번째 시간입니다. 화이팅하시고, 즐거운 한 주 되세요.
Automatic Destinations
'16개의 헥스 문자.automaticDestinations-MS' 가 파일 이름입니다.
각각의 엔트리는 각각의 어플리케이션과 연관되어 있습니다.
Jump List 기능을 해제하여도 데이터는 그대로 유지되는 속성을 갖습니다.
DestList 는 일종의 ‘요약 DB’ 입니다.
Filtered 탭에서 인식 가능한 텍스트를 추출하여 분석할 수 있습니다.
Custom Destinations
프로그래머 또는 사용자가 특정 어플리케이션의 행위에 대한 파라미터를 설정할 수 있도록 지원하는 기능을 갖습니다.
Jump Lists
링크파일 분석을 통해 원격지의 컴퓨터 이름도 확인 가능합니다.
Jump Lists 는 아래의 레지스트리 키에도 저장됩니다.
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband\Favorites, FavoritesResolve
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] 윈도우 레지스트리 기본 (1) (0) | 2022.09.02 |
|---|---|
| [FTK] 윈도우의 보호모드 (Windows Protected Mode) (0) | 2022.08.31 |
| [FTK] 링크 파일과 점프 리스트 (1) (0) | 2022.08.27 |
| [FTK] GPT 파티션과 파일시스템 분석 (0) | 2022.08.25 |
| [FTK] 비트락커(BitLocker) 분석 (2) (0) | 2022.08.23 |