관심 세미나 등록

원하시는 세미나를 사전 등록하시면
세미나 오픈시 우선적으로 자동 신청되어 알려드립니다.

* 세미나 개최는 신청자가 많은 순으로 결정됩니다.

입사 지원

인섹시큐리티에서는 신입/경력부문 상시채용과 공개채용 방식을 같이 진행하고 있습니다
제출한 이력서 기반으로 지원자격 심사평가를 진행합니다.

Windows Forensics

윈도우 포렌식

Jumplist

개요

  • Windows 7에서 새롭게 추가된 Artifacts
  • 응용 프로그램별로 그룹화
  • 사용자가 자주 사용하거나 최근에 사용한 문서 또는 프로그램을 관리하는 링크 파일
    (미디어 파일은 제외)

포렌식 관점

  • 문서, 프로그램 실행 유무 판단

  • 자주 사용하는 문서, 프로그램 정보 확인

  • 최근에 사용한 문서, 프로그램 정보 확인

  • 사용자의 행위 파악

  • 정보 유출 사건 분석

파일 주요경로

번호 점프 리스트 파일 경로
1 C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent
2 C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestination
3 C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination
  • 응용프로그램 사용 흔적 및 패턴 파악

    - 사용자가 직접 삭제하지 않는 이상 운영체제 설치 시 부터 지속적으로 로그가 저장 됩니다.
    - 따라서 사용자의 행위를 파악하거나 정보 유출 사건 분석 등에 활용 되어진다.
    - %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent

  • 응용프로그램 실행

    응용프로그램 실행 시 작업표시줄에 표시되고 작업 표시줄에 나타나는 응용프로그램에
    마우스 우클릭하면 해당 응용프로그램으로 최근에 열었거나 사용했던 파일들을 확인할 수 있습니다.

  • Recent [ 최근항목 ]

    응용프로그램을 통해 최근 열람한 파일

  • Frequent [ 자주 사용하는 항목 ]

    응용프로그램을 통해 자주 열람하는 파일

  • Tasks [ 작업 항목 ]

    경우에 따라 미디어 재생, 새 문서 작성 등의
    기능을 빠르게 이용하기 위한 파일

  • Pinned [ 사용자 고정 ]

    응용프로그램의 사용이 종료되어도 작업 표시줄에
    응용프로그램의 아이콘을 남겨두기 위한 기능으로 사용자가
    자주 사용하는 응용프로그램일 가능성이 높습니다.

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
파일에 대한 링크를 관리하는 파일

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
최근 사용한 목록(Recent) 또는 사용자가 고정(Pinned) 시킨 목록

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
자주 사용되는 목록(Frequent) 또는 작업(Tasks) 목록

최근 항목에 표시되는 항목 수 (점프리스트 항목 수)를 증가 시키는 방법
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

빈 공간을 마우스 우 클릭 한 후 [ 새로 만들기 ] – [ DWORD(32비트)값 ]

새로운 항목 값 이름 설정 후 값 데이터에 임의 값 기록

최근 문서 항목 표시 끄기 [ Windows 설정 ] - [ 개인 설정 ]

[시작] 탭 -> 시작메뉴의 점프 목록 또는 작업 표시줄에 최근에 사용한 항목 표시 설정

Jumplist 프로그램별 파일 이름

각 파일의 이름은 무작위 값이 아닌 응용프로그램별로 고유한 값을 가지고 있습니다.

앱 ID 정보 사이트 : https://github.com/EricZimmerman/JumpList/blob/master/JumpList/Resources/AppIDs.txt

점프 목록 파일 이름 [ File name of Jump List ] 응용프로그램 [ Applications ]

좌측 운영체제 카테고리에서 점프목록 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
앱ID, 앱ID에 따른 응용프로그램 이름, 경로, 마지막 접근 시간, MAC 주소 확인이 가능하고
우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 JumpList 경로 확인 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Recent

C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

C:\Users\사용자\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

EnCase에서 Jumplist 경로 확인
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent

경로를 찾은 후 Jumplist 링크 파일 확인

AutomaticDestinations : 최근 사용한 목록(Recent)이나 사용자가 고정(Pinned)시킨 목록
CustomDestinations : 자주 사용되는 목록(Frequent)이나 작업(Tasks)목록

파일 이름은 모두 16자리의 16진수 형식의 값으로 이루어져있고, 확장자는 “.automaticDestination-ms”이다.

CustomDestinations 폴더도 확장자만 “.customDestinations-ms”로 다르고 나머지는 동일하다.

%UserProfile%AppData\Roaming\Microsoft\Windows\Recent

링크 파일의 기본 정보

링크 파일의 상세 정보

Chrome
Frequent / Tasks

Edge
Frequent / Tasks

오픈소스인 JumpListsView v1.16 프로그램은 점프 목록에서 찾은 모든 정보 표시

파일 이름, 이벤트 날짜/시간, 파일을 여는 데 사용 된 애플리케이션의 ID, 파일 크기/시간/속성 등 확인 가능