본문 바로가기
Forensic/study

[Forensic] 바로가기(.LNK), Jumplist

ukkiyeon 2022. 9. 2. 00:34

바로가기(.LNK)

  • 'Windows Shortcut'
  • .lnk 확장자 (링크파일)
  • 생성 방법: 사용자가 직접 생성 or 프로그램 설치 시에 생성 or 운영체제가 자동으로 생성

 

dir 명령어로 바로가기가 lnk 파일이라는 것을 확인 가능

 

속성 - 대상에서 원본 경로 확인 가능

 

 

생성 경로

바탕 화면

  • %UserProfile%\Desktop (C:\Users\김기연 == %UserProfile% 예약어!)

 

시작 메뉴

  • %ProgramData%\Microsoft\Windows\Start Menu (C:\ProgramData == %ProgramData% 예약어!)
  • %UserProfile%\Appdata\Roaming\Microsoft\WIndows\Start Menu -> 폴더 살펴보면 바로가기 찾을 수 있음

 

최근 실행

  • %UserProfile%\Appdata\Roaming\Microsoft\Windows\Recent

 

빠른 실행

  • %ProgramData%\Microsoft\Internet Explorer\Quick Launch
  • %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
  • %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar -> 작업 표시줄 고정

%UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

 

 

실습 1 (-f)

  • FTK Imager 이용하여 추출, LECmd 이용하여 분석
  • %UserProfile%\Desktop -> 여기서 파일 추출
  • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent -> Recent 폴더 자체를 추출

 

[root]를 C:\라고 생각하고, 경로 따라가기

 

바탕화면 경로에 있는 Discord.lnk를 추출

 

CLI로 LECmd.exe 실행

 

-h (help) 옵션 줘도 설명 출력

-f에 파일 / -d에 디렉토리

 

-f

Source -> 링크 파일 자체

Target -> 링크 파일의 원본 파일

즉, Target created, Target modified, Target acessed는 원본 파일의 생성시간, 수정시간, 접근시간임.

File size -> 원본 파일의 크기

 

상대경로, 절대경로

이외에도 환경변수 등등 알 수 있음.

 

 

실습 2 (-d)

Recent 폴더에 링크파일 엄청 많은데, 이 폴더 자체를 export

 

그냥 바로 .\LECmd.exe -d .\Recent\ 하면 출력이 엄청 많이 됨.

다시 help -> json이나 html로 출력 가능함을 확인

save라는 폴더 만들어줘서, 내부에 저장되도록 함.

출력 결과를 담은 html 파일이 생성되었음.

 

다 정리되어서 출력됨을 확인.

 

링크 파일만의 존재로도, 해당 볼륨에 존재했다는 것을 증명할 수 있다.

Jumplist

  • 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조
  • 작업 표시줄에서 우클릭을 통해 확인 가능

 

Jumplist 종류

  • Automatic: 운영체제가 자동으로 남기는 항목. 즉, 기본!
  • Custom: 응용프로그램이 자체적으로 관리하는 항목

 

Jumplist 실습

1. FTK Imager로 추출

  • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
  • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

 

2. JumpList Explorer 이용하여 분석

  • Jump List Type에 Automatic, Custom을 확인할 수 있고, App ID에 대한 설명 중 Unknown AppId는App ID와 매칭되지 않는 개인적인 파일이라 생각하면 됨. 
  • 결국 분석 중에 중요한 건 경로 !
  • 크롬의 경우, 자주 방문한 페이지까지 확인 가능하다.

크롬 most-visited

참고

인프런 <기초부터 따라하는 디지털포렌식 - 손지훈>

https://inf.run/maSk

 

[무료] 기초부터 따라하는 디지털포렌식 - 인프런 | 강의

기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., - 강의 소개 | 인프런...

www.inflearn.com

'Forensic > study' 카테고리의 다른 글

[Forensic] 웹 포렌식  (0) 2023.01.10
[Forensic] Prefetch, MUICache, AmCache & ShimCache  (0) 2022.11.28
[Forensic] 시스템 파일 ($)  (0) 2022.08.20
[GCFA] 3주차  (0) 2022.08.16
[Forensic] Windows Registry  (0) 2022.08.15

'Forensic/study' Related Articles

티스토리툴바