보안/포렌식

[포렌식] 문서 파일의 흔적 분석

✔️ 레지스트리 문서 파일의 흔적을 분석할 수 있는 아티팩트 중 하나는 레지스트리이다. 레지스트리 중 NTUSER.DAT의 트리 구조로 된 레지스트리 내에 여러가지 문서 파일의 흔적을 엿볼 수 있다. ① 파일/폴더에 접근한 이력인 RecentDocs ② 윈도우의 다이얼로그를 통해 열거나 저장한 파일의 흔적 OpenSavePidlMRU ③ 오피스의 최근 열람 파일 목록 Office/···/File MRU, Place MRU 등 ④ 한글의 최근 열람 파일 목록 Hnc/···/RecentFile ⑤ Pdf의 최근 열람 파일 목록 Adobe/···/cRecentFiles 소프트웨어를 만드는 회사들에서 직접적으로 레지스트리 경로를 설정하기 때문에 직접 분석 혹은 분석된 자료를 가지고 문서 파일의 흔적을 찾을 수 ..