Window Registry-Analysis [3]

본 포스팅에서는 윈도우의 레지스트리에 대해서 다룹니다.

(도구 사용법 등과 같이 기초 지식은 본 포스팅에서 다루지 않습니다.)

지난 포스팅에 이어서 레지스트리 분석에 대해서 알아보도록 하겠습니다.

이번 포스팅에서는 윈도우에서 기본으로 제공하는 워드패드, 그림판, MS OFFICE, 한글(HWP), Adobe(PDF)에 대해서 보도록 하겠습니다.

1. 그림판에서 열어본 파일 목록

■ HKCU\SOFTWARE\Microsoft\Windows\Applets\Paint\

[그림판에서 열어본 파일 목록]

그림판을 이용한 간단한 이미지 조작과 같은 흔적을 찾을때 중요한 정보가 됩니다. 그림판을 통해 열어본 파일 목록을 저장하고 있으며, 저장되는 File#에서 #(숫자) 가 낮을 수록 최근에 열어본 파일 입니다.

2. 워드패드에서 열어본 파일 목록

■ HKCU\SOFTWARE\Microsoft\Windows\Applets\Wordpad\Recent File List

[워드패드에서 열어본 파일 목록]

워드패드를 이용하여 열어본 파일 목록을 저장 하고 있습니다. 그림판과 마찬가지로 File# (#은 숫자)에서 숫자가 낮을수록 최근에 열어본 파일 목록입니다.

3. MS OFFICE 사용흔적

■ HKCU\SOFTWARE\Microsoft\Office\Version\APP\File MRU

[xls 사용 흔적 확인]

Office제품군에 포함되어 있는 모든 사용흔적을 볼 수 있습니다. Access, Excel, OneNote, PowerPoint, Word등 정보를 확인 가능합니다. 

4. 한글(HWP) 사용흔적

■ HKCU\SOFTWARE\HNC\Hwp\Version\HwpFrame_KOR\RecentFile

[한글 사용흔적]

한글 사용시 열어본 파일 목록에 대한 정보가 저장되어 있습니다. 분석시 주의 할점은 레지스트리 경로에 HwpFrame_KOR 인지를 꼭 확인 해야 합니다. _KOR이 없는 경로도 있기 때문에 경로 접근시 주의해야 합니다.

5. Adobe(PDF) 사용흔적

■ HKCU\SOFTWARE\Adove\Acrobat Reader\DC\AVGeneral\cRecentFiles\

[Adobe(PDF) 사용흔적]

Adobe(PDF)를 이용하여 열어본 파일 목록을 저장 하고 있습니다. MS OFFICE와 HWP와 달리 파일 사이즈와 날짜 정보도 모두 저장하고 있습니다. PDF의 취약점을 이용한 악성코드 감염일 경우 PC분석 시 매우 중요한 정보가 됩니다.

이번 포스팅에서는 문서와 관련댄 흔적정보를 알아 보았습니다. 다음 포스팅에는 컴퓨터에서 검색한 흔적과 최근열어본 파일목록, 매체 정보등에 대해서 알아보도록 하겠습니다.