Jumplist 개념 및 실습

[Jumplist]

 

최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조를 말한다. Jumplist의 종류로는 운영체제가 자동으로 남기는 항목인 Automatic과 응용프로그램이 자체적으로 관리하는 항목인 Custom이 존재한다.

 

경로는 아래와 같다.

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

 

 

 

[Practice]

 

 

FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations과 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations을 추출한다.

 

추출한 AutomaticDestinations과 CustomDestinations을 보기 위해 JumpList Explorer를 다운로드한다.

 

https://ericzimmerman.github.io/#!index.md

Eric Zimmerman's tools

 

 

추출한 AutomaticDestinations과 CustomDestinations을 열면 App ID 별로 확인이 가능하다. 이때, 알려지지 않은 App ID의 경우 Unknown AppID로 나타난다.

 

 

상단의 정보를 클릭하여 하단의 세부 정보를 확인할 수 있다. 왼쪽 하단에는 각각의 LNK 파일로 구성되어 있고, 오른쪽 하단에는 각 LNK 파일에 대한 Target 정보를 보여준다.

 

 

JumpList Explorer를 통해 파일 추출도 가능하다. Windows Powershell에 대해 추출을 진행한다.

 

 

위와 같이 Windows Powershell에 대한 파일 추출이 완료되었다.

 

 

Chrome에서 내가 검색한 기록들도 확인이 가능하다.