jumplist

jumplist

-사용자가 자주 사용하거나 최근에 사용한 문서 또는 프로그램을 관리하는 링크 파일
(미디어 파일은 제외)
-윈도우7 이상 존재하는 아티팩트
-응용 프로그램별로 그룹화

예시

위 사진과 같이 최근에 닫은 탭, 자주방문한 페이지등의 정보가 존재한다.

포렌식 관점

• 문서, 프로그램 실행 유무 판단
• 자주 사용하는 문서, 프로그램 정보 확인
• 최근에 사용한 문서, 프로그램 정보 확인

경로

• C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestination

• C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination

AutomaticDestinations

• 단어 뜻 그대로 운영체제가 자동으로 남기는 항목

• 최근 사용한 목록(Resent)나 사용자가 직접 고정시킨 항목(Pinned)가 위치하고 있다.

• 확장자는 automaticdestinations-ms

CustomDestinations

• 자주 사용되는 목록(Frequent)나 작업 목록(Tasks)가 존재하고 있다.
• 확장자는 customdestinations-ms

저장되는 파일 이름은 APP id로 아래 링크에서 app id와 app의 이름을 확인가능하다. :https://github.com/EricZimmerman/JumpList/blob/master/JumpList/Resources/AppIDs.txt

실습

ftk-imager을 통해서 파일들을 복사하였다.
그 후 jumplistexplorer을 통해서 파일들을 확인하였다. 아래 링크에서 파일 다운로드 가능하다.
https://ericzimmerman.github.io/#!index.md

위는 chrome 점프리스트이다. 보면 lnk의 형태가 여러개 존재하고 그중 하나의 정보를 보면, 절대 위치 파일을 연시간, 파일의 정보를 알 수 있다.