[Windows Artifacts] Jump Lists

[Windows Artifacts] Jump Lists

 

윈도우 아티팩트

---

(1) Jump Lists란?

• Windows 7 이전에는 Recent, UserAssist 이용하여 편의성을 위한 최근 목록 유지

• 하지만, 7부터는 Jump List 기능 추가

• 작업 표시줄에서 마우스 우클릭 시에 확인 가능

• 다음 항목으로 분류하여 저장

  • Recent (최근 항목)

  • Frequent (자주 사용하는 항목)

  • Tasks (작업)

  • Pinned (사용자 고정)

[그림 1] 작업 표시줄

---

(2) Jump Lists 상세 내용

2-1. Kinds of

• Windows OS Function

2-2. Information

• Executed File

• Link File Count

• File Size

• Created / Modified / Access Time

2-3. Path

• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\

  • AutomaticDestinations\* (Recent, Pinned)

  • CustomDestinations\* (Requent, Tasks)

2-4. Characteristic

• Each item has an App ID...

2-5. Tools

• JumpList Explorer

 

2-5-1. JumpList Explorer : https://ericzimmerman.github.io

Eric Zimmerman's tools

[그림 2] AutomaticDestinations & CustomDestinations

 

[그림 3] 점프 리스트 분석 예시

---

(3) 아티팩트 수집 및 분석 실습

3-1. FTK Imager > Users > [username] > AppData > Roaming > Microsoft > Windows > Recent 해당 아티팩트 확인

• AutomaticDestinations 폴더와 CustomDestinations 폴더 확인

[그림 4] FTK Imager - 점프 리스트 수집

 

3-2. AutomaticDestinations & CustomDestinations - Export Files

 

[그림 5] 아티팩트 수집

 

여기서 중요한 것은, 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

 

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

 

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

 

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

 

[그림 6] 해당 아티팩트 공유 폴더 지정 예시

 

위 [그림 6]은 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 파일을 지정해 준 화면이다.

 

 

3-3. JumpList Explorer 활용, 점프 리스트 아티팩트 분석

 

[그림 7] JumpList Explorer

 

해당 아티팩트로 얻을 수 있는 정보는 다음과 같다.

• 해당 소스 파일에 대한 경로

• 점프 리스트 타입 (AutomaticDestinations & CustomDestinations)

• 해당 앱 ID & 상세 이름 (설명)

• 링크 파일 클릭 수

• 파일 크기

 

 

3-4. 상세 분석

 

[그림 8] 상세 분석 내용

 

JumpList Explorer 도구 하단에는 관련된 점프 리스트의 상세 정보를 볼 수 있는 화면이 있다.

 

관련 점프 리스트의 각각 엔트리 내용은 다음과 같다.

• Target MAC 타임 정보

• 호스트 이름(노트북 정보)

• MAC 주소

• 네트워크 공유 정보

• 파일 상세 경로

• Location Flags 

위와 같이 매우 다양한 정보들을 확인 가능하여 매우 유용한 아티팩트라고 할 수 있다.

---

(4) 추가 내용 정리

• 점프 리스트는 윈도우 7부터 새롭게 추가 된 기능으로, 응용 프로그램에 대한 사용 로그

• 작업 표시줄의 마우스 우클릭으로 점프 리스트를 확인 가능하며, 종류는 다음과 같음

  • Recent (사용자가 최근 접근한 파일)

  • Frequent (사용자가 빈번히 접근한 파일)

  • Tasks (응용 프로그램에서 지원하는 작업 목록)

  • Pinned (사용자가 고정 시킨 작업 목록)

• 포렌식적 관점으로는 다음과 같음

  • 문서, 프로그램 실행 유무

  • 자주 사용하는 문서, 프로그램 정보 확인

  • 최근에 사용한 문서, 프로그램 정보 확인

  • 사용자 행위 파악

  • 정보 유출 사건 분석

  • 사용자가 삭제하지 않는 이상, 운영체제 설치부터 지속적으로 로그 저장

• 사용자의 행위를 파악하거나 정보 유출 사건 분석에 큰 역할을 하는 아티팩트

• AutomaticDestinations는 운영체제가 자동으로 남기는 항목으로, 최근 사용한 목록이나 자주 사용되는 목록

• CustomDestinations는 응용 프로그램이 자체적으로 관리하는 항목을 뜻하며, 작업 목록과 같음

---

# Reference

 

http://www.forensic-artifact.com/windows-forensics/jumplist

 

http://forensic-proof.com/slides

[FP] 윈도우 7 - 점프 목록