윈도우 아티펙트

<LNK File>
- 링크파일, 윈도우 운영체제에서 바로가기를 생성하는데 사용
- 바탕화면 외에 최근 문서 폴더, 시작프로그램, 빠른 실행 등 경로에서 수동, 자동으로 생성됨
- 최근 문서 폴더에서는 최근에 사용자가 실행했던 파일 및 폴더에 대한 LNK파일이 자동 저장

C:￦Users￦Public￦Desktop

C:￦Users￦<user name>￦AppData￦Roaming￦Microsoft￦Windows￦Recent

C:￦Users￦<user name>￦AppData￦Roaming￦Microsoft￦Internet Explorer￦Quick Launch

C:￦Users￦<user name>￦AppData￦Roaming￦Microsoft￦Windows￦Start Menu

UFTLnkParser를 이용하여 파일 분석
포렌식적으로 의미있는 값
- File Attributes : 파일 특성 정보
- Creation Time : 생성시간
- Access Time : 접근시간
- Write Time : 수정시간
- File Size : 파일크기
- Drive Serial Number :링크대상이 위치한 드라이브의 시리얼번호
- Local Base Path : 링크 대상경로

<Jumplist>
- 사용자가 응용프로그램을 실행시키면 실행한 응용프로그램에 대해 남는 로그
- 사용자가 자주 사용하거나 최근에 사용한 응용프로그램 또는 문서를 별도의 구조로 보관
- 특정 응용프로그램에만 적용되는것이 아닌 윈도우 탐색기 와 같은 기본 프로그램도 적용

C:￦Users￦%USERNAME%￦AppData￦Roaming￦Microsoft￦Windows￦Recent￦AutomaticDestination
=> 최근 사용한 목록이나 사용자가 고정한 데이터

C:￦Users￦%USERNAME%￦AppData￦Roaming￦Microsoft￦Windows￦Recent￦CustomDestination
=> 자주 사용되는 목록이나 작업목록

Jumplist Explorer 같은 프로그램으로 데이터 분석

<Registry> - shellbag
Windows에서 폴더의 속성, 하위 아이템의 타입, 접근 순서, 타임스탬프 등 사용자에게 보여지는 것들을 저장하기 위한 구조체

- BagMRU : 폴더의 이름, 접근 순서, Timestamp 등을 기록
- Bags : 사용자의 Viewpreference(창의 크기, 위치 및 보기모드 등)
- 탐색기를 사용하거나 파일, 폴더열기 창을 띄울때 기록
- 사용자가 특정 폴더에 접근한 시간 정보확인
- 탐색기를 통한 폴더 접근에 대한 시간정보추적

C:￦Users￦%USERNAME%￦AppData￦Local￦Microsoft￦Windows￦UserClass.dat
=>FTK에서 파일 Export

UserClass.dat￦Local settings￦Software￦Microsoft￦Windows￦Shell￦BagMRU
=> RegistryExplorer에 해당 파일 로드 후 crtl+F로 BagMRU 검색 후 분석

UserClass.dat￦Local settings￦Software￦Microsoft￦Windows￦Shell￦Bags
=> RegistryExplorer에 해당 파일 로드 후 crtl+F로 Bags 검색 후 분석

<Registry> - MRU
C:￦Users￦%USERNAME%￦NTUSER.DAT

MRU : 실행한 파일 정보 저장
OpenSavePidMRU : 탐색기를 통해 최근에 열거나 저장된 파일 정보 저장, 웹브라우저 혹은 어플리케이션을 통해 열거나 저장한 파일 정보 저장

- 사용자가 최근에 저장하거나 연 파일을 확인

Opensavefilesview 프로그램으로 현재 시스템의 OpenSavePidlMRU 값 확인 가능

<Registry> - Recent Docs
C:￦Users￦%USERNAME%￦NTUSER.DAT

NTUSER.DAT￦Software￦Microsoft￦Windows￦CurrentVersion￦Explorer￦RecentDocs

<Registry> - UserAssist
C:￦Users￦%USERNAME%￦NTUSER.DAT