Jumplist 란?

: Jumplist

윈도우 7부터 생긴 윈도우의 새로운 아티팩트. 점프리스트는 사용자가 최근에 열었던 파일 또는 폴더로 바로 접근하기 위해서 소프트웨어 프로그램 또는 운영체제에 의해서 생성된다. 윈도우 7/8에서는 사용자는 레지스트리를 수정해서 점프리스트 항목들의 수를 설정할 수 있었지만, 윈도우 10에서는 개수를 설정하는 것이 불가능 해졌다.

점프리스트는 최근 접근한 파일 및 폴더를 기록하고 응용 프로그램을 기준으로 그룹화한다. 점프리스트가 등장하기 전에는 Recent의 LNK file 또는 레지스트리의 Userassist키를 통해서 최근에 사용했던 응용프로그램, 문서 및 폴더 등에 대한 로그를 기록했다.

점프리스트는 파일 이름, 경로, MAC 타임, 볼륨 명, 웹을 통해 업로드 또는 다운로드 된 기록 등에 대한 정보가 있다. 또한 점프리스트는 특정 응용프로그램에만 적용되는 것이 아니라 윈도우 탐색기(Windows Explorer)와 같은 기본 프로그램에도 적용된다. 윈도우 탐색기의 점프 목록은 최근에 방문했던 폴더 경로가 포함되어 있다. 하지만 단순히 방문만 한다고 기록되는 것은 아니다. 특정 폴더에서 파일을 실행하거나 행위를 했을 때만 점프 목록에 기록된다. 더불어 브라우저에 따라 최근에 방문한 사이트나 자주 방문한 사이트 경로도 저장되며, 최근 닫은 사이트 경로도 포함해주기도 한다.

이처럼 점프리스트는 Userassist, Recent보다 더 많은 정보를 포함해주기 때문에 포렌식 관점에서 매우 가치있는 아티팩트라고 할 수 있다.

윈도우 10에서의 점프리스트 경로는 아래와 같다.

- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

--> 최근 사용한 목록 또는 사용자가 직접 고정시킨 항목

- %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

--> 자주 사용되는 목록 또는 작업 목록

:: Jumplist 포맷

automaticDestination

점프리스트 파일의 16자리의 16진수 이름은 AppID라 불리고, 나머지 뒤에 이름은 Extention이라고 한다. AppID는 윈도우 애플리케이션 경로를 기반으로 개별 애플리케이션에 대해 계산하며 이름을 지정하는데 사용할 수 있다. 그래서 AppID가 알려져 있다면 애플리케이션 이름을 식별하는데 유용하게 이용할 수 있다. Extenson은 점프리스트 파일이 AutoDest인지 CustDest를 구별하는데 사용한다. 다양한 AppID는 아래 사이트에서 확인하기 바란다

https://github.com/EricZimmerman/JumpList/blob/master/JumpList/Resources/AppIDs.txt

::점프리스트 분석1 ( 포맷 )

추가 예정

:: 점프리스트 분석2 ( 도구 활용 )

Jumplist Explorer를 통해서 본 결과입니다. 그 중에서도 notepad-64 bits를 클릭하였고, 해당 도구를 통해서 볼 수 있는 정보는 다음과 같았습니다. 

• 점프리스트 타입
• 점프리스트 AppID 및 Description
• 절대 경로
• 참조된 파일들

등등 수많은 정보가 있습니다. 직접 사용해보시면서 공부하는 것도 좋은 방법이겠습니다.

CustDest 또한 이 도구를 통해 해석된 결과들을 볼 수 있습니다.

추가적으로 아래와 같은 도구들도 같이 소개해드립니다.

• JLECmd
• Jumplistview
• JumpListExplorer

:: 점프리스트 포렌식 관점

점프리스트를 포렌식 관점에서 본다면 자주, 최근 사용하는 문서, 프로그램 정보를 확인할 수 있다. 즉, 사용자가 어떠한 문서 및 프로그램을 실행하고 열람하였는지 알 수 있다.