Open / Save MRU
개요
- Windows XP의 OpenSaveMRU 이름이 Windows Vista 부터 OpenSavePidlMRU로 변경
- Windows 탐색기 공용 대화 상자를 통해 최근에 열거나 저장된 파일 정보 저장
- Web Browsers 및 Applications을 통해 열거나 저장한 파일 정보 저장
- 파일의 확장자 별로 그룹화
포렌식 관점
사용자가 최근에 열거나 저장한 파일 확인
레지스트리 주요경로
번호 | 레지스트리 경로 |
---|---|
1 | HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU |
2 | HKU\[SID]\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU |
3 | NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU |
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU
HKU\[SID]\Software\Microsoft\Windows\CurrnetVersion\Explorer\ComDlg32\OpenSavePidlMRU
하위 키를 보면 확장자 별로 그룹화가 이루어져 있고 최근에 열거나 저장된 20개 파일이 저장되어 있습니다.
좌측 운영체제 카테고리에서 MRU 열린/저장된 파일 아티팩트 클릭
[증거]테이블의 상단 칼럼 정보를 통해
파일이름, 경로를 확인 할 수 있고 우측 [세부 정보]테이블을 통해서도 확인 가능
[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 OpenSavePidMRU 경로 확인 가능하고
하이퍼링크를 클릭하면 자동으로 이동
C:\Users\사용자\NTUSER.DAT
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU
EnCase로 OpenSavePidMRU를 분석하기 위해서는 먼저 NTUSER.DAT 하이브 파일의 경로 확인
C:\Users\사용자\NTUSER.DAT
NTUSER.DAT 파일은 HKEY_CURRENT_USER에 있는 모든 설정 정보를 담고 있습니다.
OpenSavePidMRU의 경로는 NTUSER.DAT\Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ComDlg32 \ OpenSavePidlMRU
경로를 찾아간 후 OpenSavePidlMRU를 하위 폴더를 보면 확장자 별로 그룹화가 이루어져 있고 최근 열거 나 저장 한 파일의 목록을 확인할 수 있습니다.
%UserProfile%\NTUSER.DAT
[Open in Registry Viewer]
[Windows NT Registry]
[Open in Registry Viewer]
[Common Areas]
CIDSizeMRU : 사용자가 최근에 사용한 응용프로그램 정보
FirstFolder : 사용자가 최근에 사용한 앱과 사용자가 저장한 파일 목록 정보
LastVisitedPidlMRU : 사용한 응용 프로그램과 해당 응용 프로그램이 파일을 여는 데 사용한 마지막 경로
OpenSavePidlMRU: 최근 열거나 저장한 파일정보와목록이 그룹화
C:Users\NTUSER.DAT\마우스 우클릭\View -> 레지스트리 편집기
CIDSizeMRU : 사용자가 최근에 사용한 응용프로그램 정보
CIDSizeMRU : EnCase 실행 흔적
CIDSizeMRU : EnCase 실행 흔적
CIDSizeMRU : Chrome.exe 실행 흔적
CIDSizeMRU : Chrome.exe 실행 흔적
FirstFolder : 사용자가 최근에 사용한 앱과 사용자가 저장한 파일 목록 정보
FirstFolder : i2를 실행하기 위해 사용한 폴더 흔적
FirstFolder : i2를 실행하기 위해 사용한 폴더 흔적
LastVisitedPidlMRU : 사용자가 열어본 최근 문서 정보
LastVisitedPidlMRU : Chrome.exe 실행 정보
LastVisitedPidlMRU : Chrome.exe 실행 정보
OPenSavePidlMRU : 최근 사용자가 실행하고 저장한 파일 목록
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\ComDlg32\OpenSavePidMRU
- 오픈소스인 OpenSaveFilesView v1.15 프로그램은 탐색기 공용 대화 상자 및 Web Browsers를 통해 열거나 저장한 파일 목록을 표시
- 목록의 모든 파일에는 파일 이름, 확장자, 순서, 시간 (모든 파일 유형의 마지막으로 열린 파일), 파일의 수정/생성 시간, 파일 크기 및 파일 특성 확인 가능