점프 리스트

Windows 7부터 Jump List 기능이 도입되면서 사용자의 접근성과 편의성이 향상되었다. 응용 프로그램을 실행하면 작업 표시줄에 해당 프로그램의 아이콘이 표시되는데, 이를 마우스 오른쪽 버튼으로 클릭하면 해당 프로그램으로 열었던 파일 목록을 확인할 수 있다.

 

Jump List는 두 가지 방식으로 최근 파일을 기록한다. "Recent"는 사용자가 최근에 열었던 파일 목록을 저장하며, "Frequent"는 자주 사용된 파일 목록을 저장한다. 이 두 목록을 통칭하여 점프 리스트라고 한다.

 

특히, 윈도우 탐색기(Explorer.exe)의 점프 리스트는 사용자가 최근에 방문한 폴더, 실행한 파일 경로 등의 정보를 기록한다. 이를 분석하면 특정 응용 프로그램의 사용 내역, 최근 접근한 폴더 및 문서 등을 확인할 수 있어 디지털 포렌식에서 중요한 아티팩트로 활용된다.

 

경로는 아래와 같은 Recent 폴더 하위 2개의 폴더에 저장된다.

• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\
  • AutomaticDestinations: 운영체제가 자동으로 남기며 최근 사용 목록 및 자주 사용되는 항목을 알 수 있다.
  • CustomDestinations: 응용프로그램이 자체적으로 남기며 작업 목록 항목을 알 수 있다.

 

파일 이름(App ID)은 16자리의 16진수 값이며 확장자는 automaticDestination-ms이다.

AppID	Application Name
5f7b5f1e01b83767	Quick Access
4cb9c5750d51c07f	Movies & TV (Windows Store App)
a52b0784bd667468	Photos (Windows Store App)
ae6df75df512bd06	Groove Music (Windows Store App)
f01b4d95cf55d32a	File Explorer Windows 8.1/10
9d1f905ce5044aee	Microsoft Edge Browser

 

Jumplist explorer을 이용하여 내용을 확인 가능하다.

 

- 점프 리스트 파일 구조

점프 리스트 파일 구조는 OLE Compound 파일 구조를 사용한다.

SSView(Structured Storage Viewer) 툴을 사용해서 점프 리스트를 Stream 단위로 볼 수 있다.

 

DestList Header 구조

범위(Hex)	크기(Byte)	이름	설명
0x00 - 0x03	4	Version Number	Windows 7/8 : 1
0x04 - 0x07	4	Curent Entries	Windows 10 : 4
0x08 - 0x0B	4	Pinned Entries
0x0C - 0x0F	4	Counter
0x10 - 0x17	8	Last issued Entry ID number
0x18 - 0x1F	8	Number of add/delete/re-open actions

 

DestList Entry 구조

범위(Hex)	크기(Byte)	이름	설명
0x00 - 0x07	8	Checksum
0x08 - 0x17	16	New Volume ID
0x18 - 0x27	16	New Object ID
0x28 - 0x37	16	Birth Volume ID
0x38 - 0x47	16	Birth Object ID
0x48 - 0x57	16	NetBIOS Name
0x58 - 0x5B	4	Entry ID number
0x64 - 0x6B	4	MSFILETIME
0x74 - 0x77	4	Access count
0x80 - 0x81	2	Length of unicode
0x82 - 0x--	가변적	Entry string data