파일 행위 분석-프로그램 대화상자-LastVisitedPidlMRU
파일 행위 분석-LastVisitedPidlMRU
Windows XP의 LastVisitedMRU 이름이 Windows Vista 부터 LastVisitedPidlMRU로 변경
LastVisitedPidlMRU 키는 응용프로그램에서 파일을 열기 위해 사용하는 특정 실행 파일을 추적합니다.
또한 각 값은 해당 응용프로그램이 액세스 한 마지막 파일의 디렉토리 위치를 추적합니다. 즉 최근에
사용자가 사용한 프로그램 및 최근에 접근한 폴더를 확인이 가능하다.
레지스트리 주요경로
Windows XP-
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU
HKU\[SID]\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU
Windows 7+
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
HKU\[SID]\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
HKU\[SID]\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
최근 10개 데이터 조회
해당 레지스트리 값은 REG_BINARY 값이므로 reg query로 조회하면 직접 한 번에 내용을 읽을 수 없으므로 아래와 같은 방법으로 분석한다.
분석
분석 데이터는 최근 사용자 TimeLine 분석(https://secuworld.tistory.com/16) 을 통해 확인할 수 있다.
LastActivityView
Data Source를 보면 OpenSavePidlMRU, LastVisitedPidlMRU 등 레지스트리도 추출하여 표시한다.
RegRipper / rip.exe
regripper Tool 모든 plugin 분석
C:\>rip.exe -r "C:\Test\reg-hive-backup\chohb.NTUSER.DAT" -f ntuser >> c:\temp\rr-ntuser.txt
rr-ntuser.txt 파일 내용
응용 프로그램별로 가장 최근에 접근한 폴더 확인
'DFIR > 사용자 행위 분석' 카테고리의 다른 글
| 파일 행위 분석-다운로드받은파일-Zone.Identifier (2) | 2020.03.09 |
|---|---|
| 파일 행위 분석-최근 또는 자주 접근하는 문서-RecentDoc&JumpList (0) | 2020.03.09 |
| 파일 행위 분석-탐색기 대화상자-OpenSavePidlMRU (0) | 2020.03.05 |
| 응용 프로그램 호환성(AmCache 어플리케이션 캐시) 분석 (0) | 2020.03.05 |
| 응용 프로그램 호환성(ShimCache, AppCompatCache) 분석 (0) | 2020.03.05 |
