EnCase 실무 활용 가이드
- EnCase 기본 사용법
- 윈도우 아티팩트 분석
- 데이터 은닉 추적 기법
Open / Save MRU 분석 [ by 김종광 ]
Open / Save MRU
OpenSavePidMRU 파일을 분석하기 위해 OS가 설치되어 있는 파티션을 선택합니다.
Open / Save MRU
화면의 순서대로 경로를 이동하여 NTUSER.DAT 파일을 확인합니다.
Open / Save MRU
Hive 파일 분석을 위해 위 순서대로 View 옵션을 실행합니다.
Open / Save MRU
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\ComDlg32\OpenSavePidMRU 이동합니다.
Open / Save MRU
OpenSavePidMRU 하위 폴더에 실행된 파일의 확장자 기준으로 기록이 저장됩니다.
Open / Save MRU 메타데이터 정보
-
1. 최근 실행된 파일의 확장자 폴더
-
2. 선택한 폴더(확장자)에서 실행된 파일의 순서
-
3. 선택한 레지스트리 값의 디코딩 값
Open / Save MRU
가장 최근에 실행된(1번) txt 파일의 이름을 확인할 수 있습니다.
