[디지털포렌식] 6. 바로가기(.LNK) & Jumplist 개념 및 실습

[지금 무료] 기초부터 따라하는 디지털포렌식 | 훈지손 - 인프런

해당 영상 참고하여 작성한 글입니다.

 

 

 

 

바로가기(.LNK) 개념 및 실습

 

•  'Windows Shortcut’으로도 불림
• .lnk 확장자를 가짐 (link file)

생성하는 방법
• 사용자가 직접 생성 (우 클릭..)
• 프로그램 설치 시에 생성 (빠른 실행에 추가.. 시작 화면에 추가...)
• 운영체제가 자동으로 생성 

 

 

바로가기 파일이 생성되는 경로들

 

 

바탕 화면

대부분은 바탕화면에 위치

%UserProfile%\Desktop

%UserProfile%  == C:\Users\kimna

 

시작 메뉴

%ProgramData%\Microsoft\Windows\Start Menu
%UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu

%ProgramData% == C:\ProgramData

%UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu

 

최근 실행

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent

 

빠른 실행 

작업표시줄 관련하여...

(빠른 실행이라는 메뉴를 제공하던 시절이 있었음...)

%ProgramData%\Microsoft\Internet Explorer\Quick Launch
%UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
%UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
# 작업 표시줄에 고정했을 때 여기에 추가됨

%UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User  Pinned\TaskBar

 

 

 

---

 

FTK Imager 이용하여 추출
• %UserProfile%\Desktop ( C:\Users\kimna
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent

LECmd 이용하여 분석

LECmd 1.5.0.0 다운로드

MDwiki

 

 

 

(1) FTK Imager 이용하여 추출 

 

바탕화면에 파일 하나 생성 (파일명 : lnk_Jumplist)

아래 경로의 바로가기 파일 추출

%UserProfile%\Desktop

 

설치 후  lnk_Jumplist 파일로 다운받은 파일 압축 해제

# 다운받은 파일이 CLI 파일이라 콘솔을 통해 실행을 해야함

 

(2) 콘솔로 실행

.\LECmd.exe

 

 

 

(3) 사용법 확인

.\LECmd.exe -h

 

 

(4) 아까 추출한 파일 확인

.\LECmd.exe -f {바로가기 파일}

 

* target : 원본 파일

* Source : 바로가기 파일

 .

.

.

바로가기 파일에 대해 다양한 정보들을 알 수 있음

 

---

 

 

(1) FTK imager에서 아래 경로의 Recent 파일 추출

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent

 

 

(2) 쉘에서 실행

 

.\LECmd.exe -d .\Recent\

 

이렇게 하면 너무 많이 나와서...  h 옵션 주자

 

 

저장 가능한 여러 옵션을 제공해줌

.\LECmd.exe -h .\Recent\

 

 

미리 lnk 파일에 save 파일 생성하고 전체 경로를 " " 안에 작성한다. (html 옵션 사용 조건)

 .\LECmd.exe -d .\Recent\ --html "C:\Users\kimna\OneDrive\바탕 화면\lnk_\save"  

 

 

 

아까 위에서 본 엄청 많은 파일들이 이런 식으로 정리됨 -> index.html

다양한 정보들을 확인 가능 (타임스탬프, 볼륨 일련번호,..)

 

 

이번엔 csv형태로..

.\LECmd.exe -d .\Recent\ --csv "C:\Users\kimna\OneDrive\바탕 화면\lnk_\save"

 

 

워드로 열어주니.. 데이터가 깨져있어서 > 데이터 가져오기 (csv) 를 해주도록 한다.

 

 

 

 

Jumplist 개념 및 실습

 

점프리스트란?
• 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조

 

 

점프리스트 종류
• Automatic : 운영체제가 자동으로 남기는 항목 (기본 어플리케이션... 따로 설치 필요 없음)
• Custom : 응용프로그램이 자체적으로 관리하는 항목 (대부분 설치 프로그램)

종류 구별하는 게 큰 의미는 없다고 함

 

경로
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

 

 

---

 

(1) FTK Imager 이용하여 추출

 

둘 다 recent 하위 폴더라 동시에 해준다.

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

 

 

(2) 프로그램 설치

 

JumpList Explorer 이용하여 분석

MDwiki

 

lnk 파일에 압축 해제

 

 

(3) 실행

 

File-> Load jump lists -> 아까 추출한 두 파일 안의 모든 파일 선택

 

아래와 같은 정보를 확인할 수 있음.

 

lnk파일들을 추출하는 것도 가능함

사실은 Name의 경로가 중요함. (분석할 때 이걸 위주로...)

 

 

 

 

 

 

 

 

참고

3강자료.pdf