Security Incident Analysis

[Windows] OpenSaveMRU 분석

DarkSoul.Story 2022. 11. 21. 19:30
반응형

OpenSaveMRU

OpenSaveMRU는 Windows셸 대화 상자(열기 또는 다른 이름으로 저장 등)를 통해 모든 응용 프로그램에서 액세스 한 파일을 추적하는 Windows 레지스트리 키이다. Windows 탐색기에서 최근에 열거나 저장된 파일 정보를 저장하는 역할을 하며, Internet Explorer와 같은 Web Browsers뿐만 아니라 일반적으로 사용되는 대부분의 Applications을 포함하는 빅 데이터 세트이다. 

디지털 포렌식에서 OpenSaveMRU Artifact

OpenSaveMRU/OpenSavePidMRU 키에는 열기 또는 다른 이름으로 저장 대화 상자를 통해 모든 응용 프로그램에서 액세스 한 파일의 전체 경로가 포함되어 있다. 이러한 유형의 정보는 다운로드한 파일 및 사용자가 마지막으로 액세스 한 파일에 대한 세부 정보를 밝힐 수 있으므로 포렌식 분석 프로세스 중에 매우 중요하다.

OpenSaveMRU Artifact의 위치

이 키는 Windows XP 및 Windows Server 2003과 Windows Vista이상에서 약간 다르게 위치하고 있다.

OpenSaveMRU Artifact의 구조

OpenSaveMRU/OpenSavePidMRU 키에는 여러 하위 키가 존재한다. 첫 번째 하위 키는 * 하위 키이다. 이 키에는 확장자가 없는 파일을 포함하여 파일의 확장자 구분 없이 열기 또는 다른 이름으로 저장 대화 상자를 통해 액세스 한 최근 20개 파일에 대한 정보가 들어 있다. (Windows XP의 경우 10개) 나머지 하위 키는 확장명에 해당하며 확장자 별로 그룹화가 이루어져 있고 최근에 열거나 저장된 20개 파일이 저장되어 있다. (가장 오래된 정보부터 삭제)

열기 또는 다른 이름으로 저장 대화 상자를 통해 액세스 한 최근 20개 파일에 대한 정보는 * 및 확장자명 하위키에 0부터 20까지의 이름으로 저장되며, 세부 데이터는 바이너리 형태로 저장된다. 각 하위 키는 자체 MRU(최근 사용) 목록과 마지막 쓰기 시간을 유지한다.

바이너리 형태로 저장된 데이터를 살펴보면, 영문은 상관없으나 한글이 들어가있는 경우 경로 및 파일명을 확인하기 어려울 수 있다. 이때 OpenSaveFilesView를 이용하면 깔끔하게 확인할 수 있다.

* 및 확장자명 하위키에는  MRUListEx값이 존재하는데  MRUListEx에는 최근 실행된 파일의 순서가 들어 있다. 아래 그림을 확인해 보면 MRUListEx 값은 02로 저장되어 있는 것으로 보아, 최근에 실행된 파일은 2로 실행 순서는 2 ▶ 1 ▶ 0 순서로 실행된것을 확인할 수 있다. (Windows XP의 경우 MRUList)

LastVisitedPidlMRU

LastVisitedPidlMRU 키는 OpenSavePidlMRU키에 기록된 파일을 열기 위해 Applications에서 사용하는 특정 실행 파일과 Applications에서 액세스한 마지막 파일의 디렉터리 위치를 기록하며, 데이터는 바이너리 형태로 저장된다.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU]

반응형