[시작] –”최근”메뉴에 데이터 저장

RecentDocs 경로 확인
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

하위키는 확장자 별로 구분하여 사용된 문서 정보 저장

최근 20 개의 파일 목록 유지

MRUListEX를 통해서 열어본 파일의 순서를 확인할 수 있습니다.

좌측 운영체제 카테고리에서 MRU 최근 파일 및 폴더 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
파일/폴더 이름, 마지막 수정 시간 정보를 확인 할 수 있고 우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 RecntDocs경로 확인 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Users\사용자\NTUSER.DAT

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

EnCase에서 RecentDocs를 분석하기 위해 먼저 NTUSER.DAT 하이브 파일의 경로 확인
C:\Windows\Users\사용자\NTUSER.DAT

NTUSER.DAT 파일은 HKEY_CURRENT_USER에 있는 모든 설정 정보를 담고 있습니다.

RecentDocs 경로 확인
NTUSER.DAT\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

경로를 찾아간 후 RecentDocs를 확인해 보면 확장자 별로 나누어져 있고
사용자가 Windows 탐색기를 통해 액세스하거나 실행한 파일을 확인할 수 있습니다.

%UserProfile%\NTUSER.DAT

[Open in Registry Viewer]

[Windows NT Registry]

[Open in Registry Viewer]

[Common Areas]

MruListEX: 파일의 접근 순서 기록

확장자 별 접근 기록

C:Users\NTUSER.DAT\마우스 우클릭\View -> 레지스트리 편집기

Software\MicroSoft\Windows\CurrentVersion\Explorer\RecentDocs\

확장자별로 최근 실행 파일 확인 가능

오픈소스인 [ REGA ] 프로그램을 이용하여 실제 레지스트리 경로에서 RecentDocs 분석 진행

[도구상자] – [사용자 활동 정보] – [최근 실행 파일]을 통해서 최근 실행한 파일 및 폴더 정보 확인

확장자 별로 구분하여 최근 실행한 파일 정보 확인

최근 실행한 파일 및 폴더의 마지막 실행 시간 정보 확인