응용 프로그램 실행 분석-최근 실행 프로그램 (RunMRU) 분석

최근 실행 프로그램 분석(RunMRU 분석)

 

시작 – 실행 경로를 통해서 실행시킨 명령어 또는 응용 프로그램 정보

 

레지스트리 조회

경로 : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

 

F:\tool\forensic\rifiuti>reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
    a    REG_SZ    cmd\1
    b    REG_SZ    certmgr.msc\1
    c    REG_SZ    fsmgmt.msc\1

    d    REG_SZ    \\10.102.10.156\share\1  <- 원격 컴퓨터 접속이나 원격 컴퓨터 내 프로그램 실행

    e    REG_SZ    \\10.102.10.155\1

    f    REG_SZ    \\10.102.10.145\1

    g    REG_SZ    \\10.102.10.148\1

......

 

ExecutedProgramsList
GUI

CLI
F:\>F:\tool\forensic\ExecutedProgramsList.exe /sxml "F:\temp\ExecutedPrograms.xml"
F:\>LogParser.exe -stats:off -i:xml "select executed_file, last_executed_on from 'F:\temp\ExecutedPrograms.xml' order by last_executed_on desc"
executed_file                                                                                              last_executed_on
--------------------------------------------------------------------------------------------------------------------------- -------
C:\Windows\System32\SEARCHFILTERHOST.EXE                                              2020-03-05 오후 2:33:56
C:\PROGRAM FILES (X86)\Dropbox\Update\DROPBOXUPDATE.EXE                     2020-03-05 오후 2:33:01
......

 

RegRipper
F:\>F:\tool\forensic\RegRipper2.8\rip.exe -r "f:\test\reg-hive-backup\chohb.NTUSER.DAT" -p runmru 
RunMru 
Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 
LastWrite Time Thu Jan  1 00:00:00 1970 (UTC) 
MRUList = ba 
a   cmd\1 
b   explorer.exe\1

 

포렌식 도구마다 분석 방법 및 절차가 달라서 결과 또한 다르다. 그래서 동일한 아티팩트에 대해서 몇 가지 도구를 
가지고 Cross Check 하는 것이 좋다.