[FTK] 윈도우 레지스트리 아티팩츠 분석 (3)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 윈도우 레지스트리 아티팩츠 분석 세번째 시간입니다. 모두 화이팅 하세요!!!

 

MRUs – Run MRUs

Run MRU 서브키의 위치는

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Start(시작) --> Run command box (명령어 실행창)에서 사용자가 입력한 것을 확인 가능하게 합니다.

실행창에서 명령어를 오입력하여 에러 난 경우에는 그 목록이 저장되지 않습니다.

마지막 10개(a~j)만 저장됩니다.

 

 

MRUs – MS Office

Office 2007에서의 File MRU는 마지막으로 열어본 문서에 대한 정보(파일이름, 경로)를 저장합니다.

기존의 Open and Save as MRUs가 File MRU로 변경된 것입니다.

최대 50개의 엔트리를 저장 가능합니다.

새로운 문서를 열 때 마다 Item 번호가 한단계씩 위로 올라갑니다. (즉, Item 50번이었던 것이 49번이 되고, 새로 열어본 파일은 50번이 됨)

따라서 순서값을 갖는 MRUListEx가 존재하지 않아도 됩니다.

 

 

Standard MRUs and MS Office 2007 / 10 MRUs

오피스 2007은 MRU 안에 시간정보를 갖고 있습니다.

62비트 Windows date/time stamp를 사용합니다.

유니코드(Unicode)로 저장되어 있으며, 빅엔디안(Big Endia) 포맷입니다.

Word, Excel의 경우 ‘마지막으로 열어본 시각’을 의미합니다.

PowerPoint의 경우 ‘마지막으로 저장한 시각’을 의미합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : AD Windows Forensics (Win7)