Jump List

Kail-KM
|2015. 9. 27. 14:50

Jump List




윈도우 7 이전에는 Recent와 UserAssist로 사용자의 편의성을 위하여 목록들을 유지하였다. 하지만 7에 와서는 이 두개에 더해 새로운 기능이 추가되었는데 바로 점프리스트이다.

점프 리스트란 작업 표시줄에서 아이콘에 마우스를 우클릭하면 이전에 열었던 목록이나 자주 여는 파일의 목록들이 나타난다. 이를 점프 리스트라 한다.

오른쪽의 그림에서는 최근의 항목들만 존재하지만 이외에도 크롬으로 확인을 해볼 경우 자주 들어가는 사이트와 최근에 닫은 탭까지 점프리스트에 유지가 되는 것을 확인할 수가 있었다.다. 아래는 다른 항목들을 나타내 준다.

  • Recent(최근 항목) : 응용프로그램을 통해 최근 열람한 파일 
  • Frequent(자주 사용하는 항목) : 응용프로그램을 통해 자주 열람하는 파일 
  • Tasks(작업) : 경우에 따라 미디어 재생, 새 문서 작성 등의 기능을 빠르게 이용
  • Pinned(사용자 고정) : 응용프로그램의 사용이 종료되어도 작업 표시줄에 응용프로그램 아이콘을 남겨두기 위한 기능(사용자가 자주 사용하는 응용프로그램일 가능성이 크다


  • Path


    점프리스트의 목록은 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent 디렉터리에 있는 또 다른 디렉터리에 존재한다. Recent 디렉터리에는 최근에 사용된 파일이나 폴더들의 항목들이 '바로가기'의 형태로 존재하고 있다. 이러한 바로가기에 대해서는 http://kali-km.tistory.com/entry/LNK-File-Windows-ShortCut 을 참고하면 된다.

    Recent에는 바로가기 형태의 파일이 존재하면 점프리스트는 어디에 있단 것인가? 바로 아래의 사진과 같은 경로에 위치하고 있다. 아래에는 2개의 디렉터리가 존재하고 있는데 두 곳에 각 각의 점프리스트가 존재한다.

    AutomaticDestinations : 최근 사용한 목록(Recent)나 사용자가 직접 고정시킨 항목(Pinned)가 위치하고 있다.

    CustomDestinations : 자주 사용되는 목록(Frequent)나 작업목록(Tasks)가 존재하고 있다.


    저장 형태


    각 폴더에는 아래와 같이 알수 없는 이름의 긴 name의 파일들이 존재한다. 앞의 16글자는 바로 App ID로 각 App에 해당하는 ID를 띄고 있으며 각 파일의 내부를 확인해보면 여러 항목들이 존재하는 것을 확인할 수가 있다. 이러한 App ID는 http://kali-km.tistory.com/entry/Jump-List-App-ID  에서 Ctrl+F로 찾아서 어떠한 프로그램의 점프 리스트 목록인지 확인할 수가 있다.

    내용을 확인할 때는 HxD로 열어서 확인하거나 BinText를 통해서도 확인이 가능하다. 하지만 정확히 분석하기 위해서는 JumpList와 관련된 툴을 이용하는 것이 좋다.


    결론


    이러한 점프 리스트를 통하여 분석가는 사용자의 응용프로그램 사용흔적 및 패턴을 파악할 수가 있으며, 사용자가 직접 삭제하지 않는 이상 운영체제 설치 시 부터 지속적으로 로그가 저장되어 있다. 따라서 이러한 사용자의 행위를 파아하거나 정보 유출 사건 분석에 있어서 큰 역할을 기대할 수가 있다.


    참고


    http://forensic-proof.com/archives/1904


    'Forensic > Theory' 카테고리의 다른 글

    윈도우 아티팩트 요소  (0) 2015.09.28
    LNK File ( Windows ShortCut)  (0) 2015.09.27
    File System Tunneling  (0) 2015.09.23
    Web Forensic  (0) 2015.09.19
    Covert TimeStamp  (0) 2015.09.18