2014년 12월 7일 일요일

점프리스트 (Jump List)

Page info

    점프리스트

    Windows 7부터 추가된 Jump List 기능은 발전된 바로가기(Shorcut)라고 볼 수 있다. Microsoft는 점프 리스트를 통해 사용자들이 자주 사용하는 문서, 사진, 음악 또는 웹사이트를 빠르고 간편하게 이용할 수 있다고 소개하고 있다. 
    점프 리스트 예시

     바로가기는 단순히 특정 개체에 대한 정보와 실행 통로를 제공해 주는데에 그치는 반면, 점프 리스트는 아래와 같은 정보를 추가적으로 저장하여 사용자의 편의를 높혀준다. 


    • Recent(최근 항목) : 응용프로그램을 통해 최근 열람한 파일 
    • Frequent(자주 사용하는 항목) : 응용프로그램을 통해 자주 열람하는 파일 
    • Tasks(작업) : 경우에 따라 미디어 재생, 새 문서 작성 등의 기능을 빠르게 이용
    • Pinned(사용자 고정) : 응용프로그램의 사용이 종료되어도 작업 표시줄에 응용프로그램 아이콘을 남겨두기 위한 기능(사용자가 자주 사용하는 응용프로그램일 가능성이 크다)


    물론, 위와 같은 정보는 사용자들의 컴퓨터 사용 특징을 유추할 수 있기 때문에 디지털 포렌식 조사 관점에서도 유용한다.

    점프리스트 파일은 사용 목적과 같게 최근 문서 바로가기 파일이 저장된 경로인 %UserProfile%\ AppData\Roaming\Microsoft\Windows\Recent\에 AutomaticDestinations와 CustomDestin- ations폴더에 각각 저장되어 있다.

    AutomaticDestinations 폴더 예시
    CustomDestinations 예시

    여기서 AutomaticDestinations 내부의 파일들은 Compound Document 포맷 포멧을 사용하고 있으므로, Compound 포멧 분석기를 통해서도 내부의 내용을 확인할 수 있다.

    ※ Compound Document Format : FAT 파일 시스템과 굉장히 유사한 형태로 되어 있는 파일 포멧으로, 파일 시스템이 파일을 저장하듯 내부의 스트림(Stream)으로 데이터를 저장, 관리할 수 있기 때문에 목적에 따라 자주 사용되는 포멧이다. (대표적으로는 Office 2003까지의 문서 파일들이 사용하였고, 지금 설명하는 점프리스트의 AutomaticDestinations 파일이나, 윈도우의 스티커 노트, HWP 문서 등이 이 포멧을 사용한다.)

    CustomDestinations의 경우 자체 포멧을 사용하고 있지만, 중요한 것은 두 가지 점프리스트 포멧이 모두 내부적으로는 바로가기(.lnk) 파일을 포함하고 있다는 것이다. 따라서 분석 관점에서 정보의 해석과 활용은 바로가기 파일과 교차하여 진행하는 것이 좋다. 여기에 더해 자주 사용하는 항목등에 대한 관리가 별도의 스트림으로 저장되기 때문에 정확히 분석 한다면 바로가기만 분석하는 경우보다 나은 결과를 얻을 수 있을 것이다. 

    또한 JumpList의 항목은 사용자의 삭제 행위에 의해서만 삭제되기 때문에, 의도적으로 삭제되지 않는 한 파일 사용에 관련된 정보를 획득할 수 있다. 반대로는 삭제된 흔적이 발견되는 경우, 사건에 관련하여 용의자 의도를 의심해볼 필요가 있을 것이다. (점프 리스트 자체를 사용하지 않음으로 설정하면 관련 파일들이 모두 삭제되므로 이 점도 함께 알아두도록 하자.)
    점프리스트 사용 설정 화면



    분석 대상(Target)

    ※ 아래의 내용은 PFP-List와 연동되는 정보로, PFP에서 확인 및 분석에 직접적인 활용이 가능합니다.
       (PFP ManualPFP DownloadPFP home)
    Jump lists

    Target Path(Location)
    %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\ *.automaticDestination-ms
     - Recent and Pinned list
     - The File name(16 hex) is pre-determined.
     - Compound format(and each stream is same as .lnk file)
    %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\ *.CustomDestinations-ms
     - Frequency and Tasks list
     - The File name(16 hex) is pre-determined.
    Check List
    Recent and frequently used file list in target system
    Lnk file information (.automaticDestination-ms file has lnk files)
    Related Tools
    JumpLister
    JumpListViewer

     Windows 7 이상에서 존재.




      작성자: 시간:
      라벨:

      댓글 없음:

      댓글 쓰기

      질문이나 조언은 언제든 환영입니다.
      악의적 댓글이나 무조건적인 비방은 삼가주세요.

      피드 구독하기: 댓글 (Atom)