アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(8) Windows Shell Item

LastVisitedPidlMRU をサンプルで一つパースしてみましたが、Excelなどオフィス製品からファイルを保存した際には少し異なる値が出力されるようです。
下記は Excel からファイルを名前を付けて保存した後に出来た値の先頭部分の抜粋になります。

7B 00 43 00 41 00 32 00 41 00 30 00 46 00 43 00
30 00 2D 00 39 00 38 00 39 00 35 00 2D 00 34 00
34 00 43 00 39 00 2D 00 39 00 31 00 35 00 44 00
2D 00 43 00 37 00 32 00 44 00 45 00 46 00 39 00
42 00 44 00 39 00 31 00 33 00 7D 00 00 00 14 00
1F 42 25 48 1E 03 94 7B C3 4D B1 31 E9 46 B4

Excelという文字列はなく、下記は {CA2A0FC0-9895-44C9-915D-C72DEF9BD913} というUTF-16LEの文字列が入っています。

7B 00 43 00 41 00 32 00 41 00 30 00 46 00 43 00
30 00 2D 00 39 00 38 00 39 00 35 00 2D 00 34 00
34 00 43 00 39 00 2D 00 39 00 31 00 35 00 44 00
2D 00 43 00 37 00 32 00 44 00 45 00 46 00 39 00
42 00 44 00 39 00 31 00 33 00 7D 00 00 00

この後に続く下記はShell Itemとしてパースが可能です。

14 00 1F 42 25 48 1E 03 94 7B C3 4D B1 31 E9 46 B4

この英数文字列が何か?は確認できていませんが、このパターンを含む値があると RegRipper は処理を継続しないようです。
試しに、先ほどの Notepad を実行した結果と、この結果を含む NTUSER.DAT を RegRipper v2.8 と Plugin updates, 29 April 2013 を使ってパースしてみたところ下記の出力結果になりました。

LastVisitedPidlMRU
LastWrite: Mon May 10 05:04:46 2014
Note: All value names are listed in MRUListEx order.

notepad.exe - Libraries

 この値は 0 から取られたものですが、LastVisitedPidlMRU 配下には 0~5 までの値が存在し、1 には上記英数パターンが含まれた値があります。続く値 2,3,4 には他にもプログラム名などが入っている事を目視で確認できますが、どうもそれは処理されていないようです。

他のツール(例えばTZworks)では取れるものがあるようですので、MRU 値については利用するツールをよく検証する必要がありそうです。