| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- Python
- 워게임
- Algorithm
- c
- 포렌식
- 자라나는새싹
- 프로그래머스
- command
- 백준
- dreamhack
- 인프런
- WarGame
- 문제풀이
- BaekJoon
- 풀이
- 웹해킹
- 알고리즘
- 파이썬
- hacking
- 디지털 포렌식
- XSS
- C언어
- 드림핵
- Web
- Programmers
- 스터디
- 자라나는 새싹
- injection
- WHS
- CSRF
- Today
- Total
Hoin's security
[디지털 포렌식] 바로가기(.LNK), Jumplist 개념 및 실습 본문
[지금 무료] 기초부터 따라하는 디지털포렌식 | 훈지손 - 인프런
훈지손 | 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., 초보자 눈높이에 딱 맞춘, 원리를 이해하는 디지털
www.inflearn.com
이 블로그는 인프런 디지털 포렌식 강의를 참고하여 작성된 글이다.
바로가기(LNK)
• 'Windows Shortcut’
• .lnk 확장자
우리가 아는 프로그램 바로가기.
프로그램을 설치할 떄 자동으로 되기도 하고 파일 우클릭 해서 바로가기 파일 만들기 할 수 있음.
생성하는 방법
• 사용자가 직접 생성
• 프로그램 설치 시에 생성
• 운영체제가 자동으로 생성
바탕 화면
• %UserProfile%\Desktop
%userprofile% 부분이 c 드라이브 아래 유저와 같음
시작 메뉴
• %ProgramData%\Microsoft\Windows\Start Menu
• %UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu
최근 실행
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
빠른 실행
• %ProgramData%\Microsoft\Internet Explorer\Quick Launch
• %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
• %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User
Pinned\TaskBar
user pinned라는 건 작업표시줄에 핀 했을 떄. 추가했을 때 메뉴에 추가되는걸 말함.
LNK는 어떤 의미를 가지는가?
:
만들어주고 root -> user-> desktop 추출
https://ericzimmerman.github.io/#!index.md
MDwiki
ericzimmerman.github.io
위 링크로 가서 다운로드 받아준다.
LECmd의 왼쪽걸로 다운로드 해준다.
그리고 바탕화면에 폴더 lnk_Jumplist를 만들고 여기에 압축해제를 해준다.
그리고 powershell을 열어서 lnk_Jumplist으로 이동하고 LECmd를 실행시켜준다.
어떻게 사용하는지에 대한 설명이 나온다.
-h 붙이면 help로 어떻게 이 프로그램을 사용하는지에 대해 설명이 나온다.
-d 옵션은 디렉토리
-f 옵션은 파일.
소스 : 우리가 입력한 파일을 소스파일이라고 부름
타켓: 원본 파일에 대한 생성시간, 수정시간, 접근시간 담고 있음.
file size : 파일 크기
등등
알 수 있음.
여러가지 옵션제공
하나하나 올려 봐야하니까 -h 로 옵션을해서
html, json, csv 형식으로 저장가능
경로 설정까지 해주면 저장 완료.
드라이브 불륨의 시리얼 넘버, LNK(일련번호), ID 등 여러 정보를 얻을 수 있음.
html은 사람이 보기에 좋고 자동화 하기엔 안좋음. 그래서 Csv로 추출하면 자동화 할 수 있음.
엑셀로 열 수 있음.
깨지는 내용은 데이터->가져오기 하면 해결됨.
요 파일은 자동화하는데 사용될 수 있음.
Jumplist
점프리스트란?
• 최근 사용한 파일/폴더에
빠르게 접근하기 위한 구조
사용자의 브라우징 흔적이 남기 때문에 분석하기 좋음.
종류
• Automatic : 운영체제가 자동으로 남기는 항목 - 기본 응용 프로그램
• Custom : 응용프로그램이 자체적으로 관리하는 항목
-> 얘도 자동으로 남지만 따로 설치해준 프로그램만 남음.
경로
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
FTK Imager 이용하여 추출
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
요 두개 파일 추출.
JumpList Explorer 이용하여 분석
• https://ericzimmerman.github.io/#!index.md
MDwiki
ericzimmerman.github.io
위 링크로 접속해서 도구 다운로드 해줌. 다운로드 한것은 lnk_Jumplist폴더에 압축해제 해줌.
실행하고 위에서 추출한 데이터 선택해줌.
앱 아이디 별로 점프리스트가 남게된다.
이것도 각각 export해서 추출을 할 수 있음.
경로가 매우 중요.
익스플로어가 중요한게 아니고 어디를 방문했는지가 중요하니까 LNK보다는 그냥 여기서 보면 된다.
'스터디 > 디지털 포렌식' 카테고리의 다른 글
| 브라우저 아티팩트 개념 및 실습 (0) | 2024.05.30 |
|---|---|
| Prefetch, MUCache, AmCache & ShimCache (0) | 2024.05.22 |
| 디지털 포렌식 스터디 $MFT개념 및 실습, $LogFile, $UsnJrnl 개념 및 실습 (0) | 2024.05.08 |
| [3주차] 디지털 포렌식 스터디 정리 (0) | 2024.04.02 |
| [2주차] 디지털 포렌식 정리 (0) | 2024.03.27 |
