[AXIOM] Jump Lists 분석

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 Jump Lists에 대해 알아 봅니다. 모두 화이팅 하세요!!!

 

Jump Lists

윈도우 7에서 소개되었고, 윈도우 10에서도 필수 구성요소이며, 조사자에게 사용자의 활동 정보를 제공합니다.

LNK 파일 카테고리와 마찬가지로, Jump List도 다음의 위치에서 파싱됩니다.

\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent\

2개의 서브 폴더가 존재합니다.

 

 

AutomaticDestinations

운영체제와 윈도우의 디폴트 어플리케이션이 생성한 엔트리를 포함합니다.

CustomDestinations

사용자가 생성한 엔트리를 포함합니다.

 

Jump List에는 다음과 같이 사용자가 접근한 자원에 대한 정보가 남습니다.

- 자원에 접근하는데 이용된 어플리케이션의 이름과 경로

- 어플리케이션을 사용한 일시

- 접근한 자원

 

Jump List는 접근한 드라이브에 대한 다음과 같은 상세한 흔적이 기록되어 있기도 합니다.

- 볼륨시리얼넘버(VSN)

- 볼륨 레이블

 

Jump List를 분석하면 파일의 경로, 마지막으로 접근한 타임스탬프와 같이 사용자가 접근한 파일과 자원을 알아낼 수 있습니다.

Jump List에는 사용자가 가장 최근에 접근한(Most Recently Used) 파일과 어플리케이션에 관한 정보도 존재합니다.

Jump List는 그래픽 파일과 비디오 처럼 특정한 파일을 만들고, 편집하고, 열람하는데 이용했었던 어플리케이션을 확인하는데 도움을 주기도 합니다.

Jump List는 사용자의 히스토리와 타임라인, 사용자의 행위와 파일 접근 이력을 분석하는데 유용합니다.

Jump List는 사용자가 어플리케이션으로 파일을 접근한 개체 또는 볼륨에 관한 세밀한 정보를 제공하기도 합니다.

LNK 파일 처럼, 원래의 파일이 삭제되었을 지라도 로컬 시스템이나 이동식 미디어에 파일이 존재하고 있었다는 유일한 증거가 될 수 있습니다.

 

 AutomaticDestinations 폴더

이것은 사용자가 어플리케이션을 구동하였을 때, 어떤 파일에 접근하였을 때, 또는 윈도우 탐색기와 상호 작용하여 알려진 자원에 접근하였을 때, 윈도우 운영체제가 자동으로 생성한 엔트리를 저장하고 있는 폴더입니다.

각 파일은 어플리케이션 ID와 함께 뒤에 automaticDestinations-ms 라는 접미시가 붙어있습니다.

어플리케이션 ID 값은 Microsoft가 유지하고, 윈도우의 Jump List Functionality 가 기록하는 유일한 값입니다.

Microsoft에 의하면, 이것은 어플리케이션 경로를 CRC64 해시값으로 나타낸 것이라고 합니다.

AXIOM은 어플리케이션 ID (App ID)값을 이용하여 “Potential App Name” 컬럼의 데이터를 알아냅니다.

AutomaticDestinations-ms 파일은 복합 바이너리 파일 구조(Compound binary file structure)를 사용합니다.

위 파일 안에는 DestList 라는 데이터 스트림이 존재하고, 이것은 Most Recently Used(MRU) 또는 Most Frequently Used(MFU) 목록으로 기능을 합니다.

 

또한 위 파일 안에는 다음과 같은 것이 저장되어 있습니다.

- DestList

- 마지막으로 접근한 타임스탬프

- 타겟 파일 이름과 경로

- 개체와 볼륨의 식별자

- Microsoft Shell Link(MS-SHLLINK) 데이터 스트림

Object Linking Embedding (OLE) 기능을 이용하여 어플리케이션의 동작, 다른 개체에 대한 링크를 지원하는 데 일반적으로 이용됩니다.

 

CustomDestinations 폴더

AutomaticDestinations 폴더와 유사하게 동작합니다.

각각의 엔트리는 해당 파일과 동일한 이름 명명규칙을 이용합니다.

어플리케이션 경로에 대해 CRC64로 해시한 Alphanumerc 접두사를 사용합니다.

 AXIOM을 사용하여 Potential App Name 값을 확인할 수 있습니다.

 

AutomaticDestinations 와는 달리, 이것은 운영체제가 생성한 것 들인데, CustomDestinations는 사용자가 Task Bar와 같은 특정한 위치에 어플리케이션을 Pin 하였을 때 생성되는 것 입니다.

또한 CustomDestinations-ms 파일은 복합 바이너리 파일 포맷을 이용하지 않고, 이보다 더욱 간단한 구조체를 통해 제어됩니다.

MS-SHLLINK 데이터 스트림은 여전히 이용되고 있으나, 데이터는 일련의 LNK로 포맷된 후속 엔트리에 저장됩니다.

마지막으로, AutomaticDestination-ms 엔트리와는 달리, 운영체제의 의해 통제되고, 추가적인 메타 데이터는CustomDestinations-ms 데이터 스트림에 추가될 수 있으며, custom Jump List 엔트리와 연결된 어플리케이션이 제어합니다.

 

AutomaticDestinations-ms Jump List 엔트리와 비슷하게, CustomDestinations-ms도 조사자들에게 다음과 같은 정보를 제공합니다.

- 빈번하게 접근한 어플리케이션 (pinned)

- 타임라인 분석 데이터

- 분석대상 로컬 시스템에 더 이상 이용가능 하지 않을 어플리케이션에 대한 잠재적 참조 정보

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Magnet AXIOM Examinations (AX200)