JumpList (Windows10)
JumpList?
- Windows7에서 새롭게 추가된 Artifact이다.
- 응용 프로그램 별로 그룹화가 되어있다.
- 사용자가 자주 사용하거나 최근에 사용한 문서 도는 프로그램을 관리하는 링크 파일이다.
포렌식적 관점
- 문서, 프로그램 실행 유무
- 자주 사용하는 문서, 프로그램 정보 확인
- 최근에 사용한 문서, 프로그램 정보 확인
- 사용자의 행위 파악
- 정보 유출 사건 분석
사용자의 사용흔적 및 패턴 파악 가능
- 사용자가 직접 삭제하지 않는 이상 운영체제 설치 시 부터 지속적으로 로그가 저장 됩니다.
- 따라서 이러한 사용자의 행위를 파악하거나 정보 유출 사건 분석에 도움이 됩니다.
응용프로그램 실행
- 응용프로그램 실행 시 작업표시줄에 표시되고 작업 표시줄에 나타나는 응용프로그램에 마우스 우클릭하면 해당 응용프로그램으로 최근에 열었거나 사용했던 파일들을 확인할 수 있다.
점프목록의 종류
- Recent : 응용프로그램을 통해 최근 열람한 파일
- Frequent : 응용프로그램을 통해 자주 열람하는 파일
- Tasks : 경우에 따라 미디어 재생, 새 문서 작성 등의 기능을 빠르게 이용하기 위한 파일
- Pinned : 응용프로그램의 사용이 종료되어도 작업 표시줄에 응용프로그램아이콘을 남겨두기 위한 기능으로 사용자가 자주 사용하는 응용프로그램일 가능성이 크다.
JumpList 경로
| 번호 | JumpList 경로 |
|---|---|
| 1 | C:\Users%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent |
| 2 | C:\Users%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations |
| 3 | C:\Users%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations |
1. C:\Users%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent
2. C:\Users%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
3. C:\Users%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
참고로 AutomaticDestinations 와 CustomDestinatinos는 경로에 직접 입력해서 들어갈 수 있었다. 가끔씩 Recent경로에 폴더아이콘으로 나오기도 했는데 어떤 경우에 나오는지는 알 수 없었고 이러한 예외를 제외하면 보이지 않았으며 경로를 직접 입력해야만 안에 있는 폴더들을 확인할 수 있었다.
JumpList Structure
JumpList Structure는 위 사진과 같다. OLE File Structure가 맨 처음 존재하고 그 후에 다수의 LNK File Structure와 1개의 DestList File Structure가 존재한다.
이 구조는 SSView를 이용해 확인할 수 있다.
또한 NirSoft 툴 중 JumpListView라는 프로그램을 이용하면 AutomaticDestinations-ms 파일을 간편하게 확인할 수 있다.
