SANS Windows Artifact Analysis: Evidence of..ポスターの最初の項目は File Download となっています。このカテゴリでは Open/Save MRU、E-mail Attachments、Skype History、Index.dat/Plases.sqlite、Download.sqlite と 6個のデータがリストアップされています。

まずは最初の項目、Open/Save MRU について確認してみたいと思います。LocationとしてはXPとWindows 7として、ユーザー毎に作成されるレジストリファイル NTUSER.DAT 配下のキーになります。

XP NTUSER.DAT\Software\Microsoft\Windows\

CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

 

Win7 NTUSER.DAT\Software\Microsoft\Windows\

CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU

 例えば、Windows 7 にて下記オペレーションを行うと該当キーにデータが発生します。

1. メモ帳（Notepadを起動）
2. ファイルメニューから名前を付けて保存を選択
3. 保存する

この場合、OpenSavePIDlMRUキー配下には、* と txt という二つのキーが作成され、その配下にMRUListExと数字番号の値（バイナリ値）が作成されます。バイナリデータですが、レジストリエディタで中身を確認すると、Unicodeでファイルパスなどが記述されている事が目視でも確認できると思います。

OpenSavePidlMRU

http://www.forensicswiki.org/wiki/OpenSavePidlMRU

OpenSaveMRU

http://www.forensicswiki.org/wiki/OpenSaveMRU

OpenSaveMRU and LastVisitedMRU

http://forensicmethods.com/opensavemru-lastvisitedmru

Registry MRU Locations

http://windowsxp.mvps.org/RegistryMRU.htm

A Windows Registry Quick Reference: For the Everyday Examiner 

http://www.forensicfocus.com/downloads/windows-registry-quick-reference.pdf

Windows Shell Item format specification

https://googledrive.com/host/0B3fBvzttpiiSajVqblZQT3FYZzg/Windows%20Shell%20Item%20format.pdf