SANS ポスター:Windows Artifact Analysis(2)
SANS Windows Artifact Analysis: Evidence of..ポスターの最初の項目は File Download となっています。このカテゴリでは Open/Save MRU、E-mail Attachments、Skype History、Index.dat/Plases.sqlite、Download.sqlite と 6個のデータがリストアップされています。
まずは最初の項目、Open/Save MRU について確認してみたいと思います。LocationとしてはXPとWindows 7として、ユーザー毎に作成されるレジストリファイル NTUSER.DAT 配下のキーになります。
XP NTUSER.DAT\Software\Microsoft\Windows\
CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
Win7 NTUSER.DAT\Software\Microsoft\Windows\
CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU
例えば、Windows 7 にて下記オペレーションを行うと該当キーにデータが発生します。
- メモ帳(Notepadを起動)
- ファイルメニューから名前を付けて保存を選択
- 保存する
この場合、OpenSavePIDlMRUキー配下には、* と txt という二つのキーが作成され、その配下にMRUListExと数字番号の値(バイナリ値)が作成されます。バイナリデータですが、レジストリエディタで中身を確認すると、Unicodeでファイルパスなどが記述されている事が目視でも確認できると思います。
OpenSavePidlMRU
http://www.forensicswiki.org/wiki/OpenSavePidlMRU
OpenSaveMRU
http://www.forensicswiki.org/wiki/OpenSaveMRU
OpenSaveMRU and LastVisitedMRU
http://forensicmethods.com/opensavemru-lastvisitedmru
Registry MRU Locations
http://windowsxp.mvps.org/RegistryMRU.htm
A Windows Registry Quick Reference: For the Everyday Examiner
http://www.forensicfocus.com/downloads/windows-registry-quick-reference.pdf
Windows Shell Item format specification
https://googledrive.com/host/0B3fBvzttpiiSajVqblZQT3FYZzg/Windows%20Shell%20Item%20format.pdf