[AXIOM] Link Files와 Recent Docs

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Link Files와 Recent Docs에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!

 

LNK Files

Link 파일 아티팩츠는 운영체제 내의 다음과 같은 다양한 위치에서 파싱됩니다.

- $MFT

- pagefile.sys

- Program Files

- Program Data

- Program Files(x86)

- User’s Recent folder

- Unallocated space

 

 

링크 파일은 비교적 단순하지만 포렌식 조사자에게는 매우 중요한 아티팩츠입니다.

사용자의 시스템, 이동식 저장매체에서 발견되는 어플리케이션, 폴더, 파일을 연결하는 일종의 바로가기 파일이며, *.lnk 라는 확장자를 갖습니다.

링크 파일은 사용자가 임의로 만들 수도 있고, 윈도우 운영체제가 자동으로 만들어 낼 수도 있는 아티팩츠 입니다.

윈도우가 만든 LNK 파일은 사용자가 로컬이나 원격지 파일 또는 문서를 열어 보았을 때 생성됩니다.

이것은 포렌식 조사자에게 사용자 행위에 대한 유의미한 정보와 통찰력을 제공합니다.

 

링크 파일은 조사 대상 시스템에서 삭제된 파일을 찾을 때도 매우 유용한 아티팩츠입니다.

실제로 파일은 삭제 또는 영구 제거되거나, USB에 저장되어 있거나, 네트워크 공유 드라이브에 저장되어 있을 수도 있습니다. 비록 해당 파일이 조사 대상 시스템에서 삭제되었을 지라도, 원본 파일과 연관되어 있는 LNK 파일을 분석하면 사용자가 그 원본 파일에 접근한 것에 대한 중요한 정보를 얻을 수 있습니다.

 

링크 파일을 파싱한 정보는 특정한 아티팩츠를 집중 조사하거나 다양한 아티팩츠 사이의 연관관계를 확인하기 위해 조사 범위를 좁히려고 할 때 도움이 됩니다.

예) LNK 파일에서 확인된 Volume Serial Number(VSN)는 USB Devices 아티팩츠 카테고리의 엔트리를 확인하는데 도움이 되며, 그 USB 디바이스에 대한 드라이브 문자까지 연관지을 수 있습니다.

 

사용자 프로파일 폴더에서 파싱된 링크 파일은 다음의 위치에서 발견됩니다.

Users\<username>\AppData\Roaming\Microsoft\Windows\Recent

AXIOM에서 Link 파일을 파싱한 후 보여 주는 정보 중 Linked Path는 Original Path를 의미하며, LNK 파일 엔트리가 만들어 졌을 때 원본 파일(source file)과 관련된 타임스탬프는 사용자가 원본 파일을 접근하였을 시각을 의미합니다.

 

기타 링크 파일에서 확인 가능한 정보는 다음과 같습니다.

- Drive Type : 고정식, 이동식

- 볼륨명

- 볼륨시리얼넘버

- 타켓 파일의 논리적 크기 등

 

Recent Docs

링크 파일은 사용자의 Recent 폴더에서도 발견됩니다.

윈도우는 사용자 프로파일(NTUSER.dat 파일)의 RecentDocs 키에서 사용자가 접근한 자원, 파일, 어플리케이션에 대한 바로가기 흔적을 기록으로 남깁니다.

해당 키의 최상단에는 File type(extention)과는 상관 없이, 사용자가 접근한 가장 최근의 파일, 폴더, 어플리케이션, 다른 바로가기 파일에 대한 목록이 존재합니다.

 

RecentDocs 키 안의 값은 ‘0’에서 시작하며 각각 새롭게 엔트리가 추가될 때 마다 값이 증가합니다.

다만 윈도우는 사용자가 접근하였던 순서 대로가 아니라 오름차순으로 값을 저장합니다.

 

RecentDocs 키 최상단에는 MRUListEx라는 키가 존재하고, 여기서 MRU는 Most Recently Used를 의미합니다.

MRUListEx 키는 가장 최근에 접근한 것부터 시작하여, 사용자가 접근한 순서대로 엔트리를 저장합니다.

RecentDocs 키 안에는 파일의 확장자로 된 일련의 서브 키가 존재합니다.

RecentDocs 키와 비슷하게 이들 하위 키도 MRUListEx 값을 갖고 있습니다.

이 값은 해당된 File Type에 대하여 사용자가 접근한 순서를 알게 해줍니다.

엔트리의 값은 ASCII와 Unicode 형식으로 볼 수 있습니다.

만약 어떤 사용자가 Recent 폴더에 있는 엔트리를 실수로 삭제했더라도, NTUSER.dat 파일의 RecentDocs 키에 대한 조사를 통해 사용자가 접근한 파일과 폴더의 목록을 확인할 수 있습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)