[FTK] 윈도우 레지스트리 아티팩츠 분석 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 윈도우 레지스트리 아티팩츠 2번째 시간입니다. 추석 연휴 첫날이네요. 풍성한 한가위가 되길 바랍니다.

 

ComDig32 - LastVisitedPidMRU

Open / Save as 대화창을 통해 문서를 여는데 이용한 64비트 프로그램이 무엇이었는지 확인할 수 있습니다.

어플리케이션의 이름과 경로를 알 수 있습니다.

 

 

ComDig32 - LastVisitedPidMRULegacy

어플리케이션 이름과 경로를 알 수 있습니다.

32비트 어플리케이션에 대한 정보는 여기에 저장됩니다.

 

 

ComDig32 - OpenSavePidMRU

포렌식적으로 가장 관심이 가는 키중에 하나입니다.

Open / Save 대화창을 이용한 프로그램에 한정하지만, RecentDocs 키와 비슷한 역할을 합니다.

확장자별로 20개의 엔트리가 기록됩니다.

만약, 외부 저장장치에서 문서를 Open 또는 Save 하게 되면, 외부 저장장치의 드라이브 문자가 기록됩니다.

PIDL (Pointer to an Item Identifier List)

이 부분에 경로 정보가 없으면, 사용자가 해당 프로그램의 기본 저장위치에 저장했다고 생각하셔도 무방합니다.

경로 정보가 보이면, 사용자가 별도의 위치를 지정하여 저장한 경우입니다.

 

 

Pointer to an Item Identifier List (PIDL)

MS는 ‘Desktop’, ‘My computer’, ‘My Document’와 같은 가상의 폴더(shell folder)를 갖고 있습니다. (즉, 이들 폴더는 실제 파일시스템에는 존재하지 않는 것들 입니다.)

여기에는 ‘경로’가 아니라 일련의 특별한 값(Item IDs)을 포함하고 있습니다.

즉, 가상폴더의 경우 PIDL 값을 이용하여 전체 경로를 나타냅니다.

아래의 서브키에는 PIDL 값이 적용됩니다.

- LastVisitedPidlMRU

- LastVisitedPidlMRULegacy

- OpenSavePidlMRU

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)