Windows Artifacts - Open Save MRU

Open / Save MRU

Writer : KUSTI

OS : Windows 10

Tools : x

사전정보

1. HKEY CLASS ROOT : 파일 연관성과 COM정보
2. HKEY CURRENT USER : 현재 시스템에 로그인된 사용자 정보
3. HKEY LOCAL MACHINE : 시스템 하드웨어 및 소프트웨어 정보
4. HKEY USERS : 모든사용자 정보
5. HKEY CURRENT CONFIG : 시스템 시작시 사용되는 하드웨어 정보
6. MRU : Most Recently Used

특징

1. Windows 탐색기 공용 대화상자를 통해 최근에 열거나 저장한 파일정보 저장
2. Web Browser, Applications를 통해 열거나 저장한 파일정보 저장
3. 파일 확장자 별로 그룹화
4. Windows Vista전에는 OpenSaveMRU, 이후에는 OpenSavePidMRU

레지스트리 경로

1. HKECU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
2. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU
3. HKU/[SID]\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU
4. NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

개별

1. ~\OpenSavePidlMRU
   1. MRUListEx에 가장 최근에 실행한 순으로 Hex값으로 빅엔디안 형식으로 정렬
   2. 만약 레지스트리가 10진수로 정렬되어있으면 계산해서 봐야함
   3. 확장자 별로 그룹화 되어있음.
   4. 열거나 저장된 Pid
2. ~\LastVisitedPidlMRU
   1. MRUListEx에 가장 최근에 실행한 순으로 Hex값으로 빅엔디안 형식으로 정렬
   2. 만약 레지스트리가 10진수로 정렬되어있으면 계산해서 봐야함
   3. 가장 마지막에 방문한 Pid
3. HKU/[SID]\\~OpenSavePidMRU
   1. 모든 사용자 정보가 담긴 HKU에서 접근하는 OpenSavePidMRU
   2. 위 1번의 OpenSvaePidIMRU와 같아보임 ( 차이점을 못 찾겠음 )
4. NTUSER.DAT
   1. 사용자 계정 설정 및 사용자 지정에 대한 정보가 포함되어 있다.