読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(2)

フォレンジック

SANS Windows Artifact Analysis: Evidence of..ポスターの最初の項目は File Download となっています。このカテゴリでは Open/Save MRU、E-mail Attachments、Skype History、Index.dat/Plases.sqlite、Download.sqlite と 6個のデータがリストアップされています。

まずは最初の項目、Open/Save MRU について確認してみたいと思います。LocationとしてはXPとWindows 7として、ユーザー毎に作成されるレジストリファイル NTUSER.DAT 配下のキーになります。

XP NTUSER.DAT\Software\Microsoft\Windows\

CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

 

Win7 NTUSER.DAT\Software\Microsoft\Windows\

CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU

 例えば、Windows 7 にて下記オペレーションを行うと該当キーにデータが発生します。

  1. メモ帳(Notepadを起動)
  2. ファイルメニューから名前を付けて保存を選択
  3. 保存する

この場合、OpenSavePIDlMRUキー配下には、* と txt という二つのキーが作成され、その配下にMRUListExと数字番号の値(バイナリ値)が作成されます。バイナリデータですが、レジストリエディタで中身を確認すると、Unicodeでファイルパスなどが記述されている事が目視でも確認できると思います。

 

OpenSavePidlMRU

http://www.forensicswiki.org/wiki/OpenSavePidlMRU

OpenSaveMRU

http://www.forensicswiki.org/wiki/OpenSaveMRU

OpenSaveMRU and LastVisitedMRU

http://forensicmethods.com/opensavemru-lastvisitedmru

Registry MRU Locations

http://windowsxp.mvps.org/RegistryMRU.htm

A Windows Registry Quick Reference: For the Everyday Examiner 

http://www.forensicfocus.com/downloads/windows-registry-quick-reference.pdf

Windows Shell Item format specification

https://googledrive.com/host/0B3fBvzttpiiSajVqblZQT3FYZzg/Windows%20Shell%20Item%20format.pdf