파일 행위 분석-탐색기 대화상자-OpenSavePidlMRU

파일 행위 분석-OpenSavePidlMRU

• Windows XP의 OpenSaveMRU 이름이 Windows Vista 부터 OpenSavePidlMRU로 변경
• Windows 탐색기 공용 대화 상자를 통해 최근에 열거나 저장된 파일 정보 저장
• Web Browsers 및 Applications을 통해 열거나 저장한 파일 정보 저장
• 파일의 확장자 별로 그룹화되어 있음

사용자가 최근에 열거나 저장한 파일 확인.
Windows의 표준 열기 / 저장 대화 상자에서 파일 이름을 선택할 때마다 다음 키 아래에 새 레지스트리 항목이 추가됨
단, 어떤 프로그램의 대화 상자을 통해서 열엇는지는 알 수 없다. 이 정보는 LastActivityView 도구나 $MFT, $Usnjrnl, $Logfile 분석을 통해 확인할 수 있다.

레지스트리 주요경로
Windows XP-
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU  

HKU\[SID]\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU 

Windows 7+ 

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

HKU\[SID]\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

공통
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg3

F:\>reg query "HKU\S-1-5-21-2555433415-3599755044-3103386514-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU"

F:\>reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU"

OpenSaveFilesView

GUI

CLI
F:\tool\forensic\opensavefilesview-x64>OpenSaveFilesView.exe /sxml f:\temp\OpenSaveFilesView.xml

F:\>LogParser.exe -h -i:xml "f:\temp\OpenSaveFilesView.xml
Fields:
  filename (S)           extension (S)               order (I)
  open_time (S)          file_modified_time (S)      file_created_time (S)
  file_size (S)          file_attributes (S)         file_owner (S)
  filename_only (S)

F:\tool\forensic\opensavefilesview-x64>F:\tool\forensic\LogParser\LogParser.exe -i:xml "select filename, file_modified_time, open_time from 'f:\temp\OpenSaveFilesView.xml'"
filename                                                       file_modified_time          open_time
--------------------------------------------------------------------------------- ---------------------- ---------------------
F:\temp\요즘부자.png                                   2020-03-05 오후 1:04:36  2020-03-05 오후 1:04:36
F:\temp\요즘부자.png                                   2020-03-05 오후 1:04:36  2020-03-05 오후 1:04:36
F:\Security\M-Trend 2019 보안 특별보고서.pdf   2020-03-05 오전 9:45:55  -
F:\Security\M-Trend 2019 보안 특별보고서.pdf   2020-03-05 오전 9:45:55  2020-03-05 오전 9:45:54
......

LastActivityView

Data Source를 보면 OpenSavePidlMRU, LastVisitedPidlMRU 등 레지스트리도 추출하여 표시한다.

 

RegRipper / rip.exe

regripper Tool 모든 plugin 분석

C:\>rip.exe -r "C:\Test\reg-hive-backup\chohb.NTUSER.DAT" -f ntuser >> c:\temp\rr-ntuser.txt

rr-ntuser.txt 파일 내용