3. 바로가기 (.LNK), Jumplist 개념 및 실습

1. 바로가기 (LNK)

- 'Windows Shortcut'

- .lnk 확장자를 가진다.

 

바로가기 생성하는 방법

- 사용자가 직접 생성

- 프로그램 설치 시에 생성

- 운영체제가 자동으로 생성

원본파일 경로를 가지고 있다.

-> 자동으로 바로가기가 생성되는 파일들 

 

바로가기 파일이 생성되는 경로

- 바탕화면 : %UserProfile%\Desktop

* [%UserProfile%]과 [C:\Users\홍혜민] 동일하다.

* UserProfile, ProgramData 은 윈도우 예약어 

- 시작메뉴

%ProgramData%\Microsoft\Windows\Start Menu

%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu

- 최근 실행 : %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent

- 빠른 실행 (작업 표시줄 관련)

%ProgramData%\Microsoft\Internet Explorer\Quick Launch

%UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch

%UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar (작업 표시줄에서 고정했을 때 추가된다.)

---

바로가기 (LNK) 실습

1) FTK Imager 사용해서 추출 

%UserProfile%\Desktop

%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent

- 바로가기 파일을 추출한다. 

- 두번째는 폴더 추출

2) LECmd 이용해서 분석 

- 사용법

-f <f> : 처리해야 할 파일

-d <d> : 폴더 아래에 있는 모든 폴더 전부 (directory 선택)

* 폴더는 정보가 굉장히 많기 때문에 폴더를 하나 만들어서 --html 옵션을 준다. 

* 시간에는 UTC 기준이기 때문에 9시간 더해준다. 

* Volume Serial Number : LNK를 통해 어떤 volume에 존재했던 파일인지 알 수 있다. 

* index.xhtml 파일 생성

--csv로 뽑아보기 (엑셀로 열어서 데이터가져오기 -> 다시 저장한다.)

 

---

 

2. Jumplist

Jumplist

- 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조 

 

Jumplist 종류

- Autoamatic : 운영체제가 자동으로 남기는 항목 (윈도우 기본 응용 프로그램)

  경로 : %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

- Custom : 응용 프로그램이 자체적으로 관리하는 항목 (자동으로 남지만 설치 프로그램인 경우)

   경로 : %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

 

Jumplist 실습

1) FTK Imager 사용해서 추출

2) Jumplist Explorer 이용해서 분석

- File -> Load jump lists -> 추출한 폴더 안에서 전체 선택해서 열어준다. (두 개 파일 한꺼번에)

- 프로그램 하나를 선택하면 나오는 Name 부분에는 각각 .lnk 파일을 가지고 있다. -> 하나씩 누르면 자세한 정보 확인 가능

- 추출도 가능 -> LECmd를 사용해서 분석