디지털 포렌식

728x90

출처:

https://shsh010914.tistory.com/66

Jumplist 개념 및 실습

[Jumplist] 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조를 말한다. Jumplist의 종류로는 운영체제가 자동으로 남기는 항목인 Automatic과 응용프로그램이 자체적으로 관리하는 항목인 Custom이

shsh010914.tistory.com

[Jumplist]

최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조를 말한다. Jumplist의 종류로는 운영체제가 자동으로 남기는 항목인 Automatic과 응용프로그램이 자체적으로 관리하는 항목인 Custom이 존재한다.

경로는 아래와 같다.

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

[Practice]

FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations과 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations을 추출한다.

추출한 AutomaticDestinations과 CustomDestinations을 보기 위해 JumpList Explorer를 다운로드한다.

https://ericzimmerman.github.io/#!index.md

Eric Zimmerman's tools

ericzimmerman.github.io

추출한 AutomaticDestinations과 CustomDestinations을 열면 App ID 별로 확인이 가능하다. 이때, 알려지지 않은 App ID의 경우 Unknown AppID로 나타난다.

상단의 정보를 클릭하여 하단의 세부 정보를 확인할 수 있다. 왼쪽 하단에는 각각의 LNK 파일로 구성되어 있고, 오른쪽 하단에는 각 LNK 파일에 대한 Target 정보를 보여준다.

JumpList Explorer를 통해 파일 추출도 가능하다. Windows Powershell에 대해 추출을 진행한다.

위와 같이 Windows Powershell에 대한 파일 추출이 완료되었다.

Chrome에서 내가 검색한 기록들도 확인이 가능하다.

728x90

'🔒정보보안 > 디지털 포렌식' 카테고리의 다른 글

디지털 포렌식 - 증거 수집 파일 및 레지스트리 경로 (0)	2024.11.13
디지털 포렌식 - 법이론 요약 (0)	2024.11.12
디지털 포렌식 - FAT32 파일시스템 복구 (0)	2024.10.24
디지털 포렌식 - 법이론 2 (0)	2024.10.16
디지털 포렌식 - 법이론 1 (0)	2024.10.15

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

HackLog

디지털 포렌식 - Jumplist

'🔒정보보안 > 디지털 포렌식' 카테고리의 다른 글

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역

디지털 포렌식 - Jumplist

'🔒정보보안 > 디지털 포렌식' 카테고리의 다른 글

관련글

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역