Windows Jump List parser(jmp)
소개[편집]
jmp는 Windows 7부터 추가된 기능이자 최근 문서의 일부인 점프 목록파일들을 파싱하는 도구이며, Windows의 CLI로 64비트와 32비트를 둘 다 지원한다. 한글은 지원되지 않기 때문에, 분석하려는 파일의 경로명을 주의하여야 한다. 본 절에서는 ‘14. 8. 1 버전인 v0.27을 가지고 실험하였다.
본 도구는 상용 소프트웨어이며, ‘https://tzworks.net/’ 에서 도구 라이선스 구매 정보를 확인할 수 있다. 또한, Windows, Linux, Mac OS X에서의 실행을 지원한다.
사용법[편집]
행파일의 이름은 비트에 따라 jmp64.exe(64비트) 또는 jmp.exe(32비트)로 구분된다. 도구 실행 시, 분석하려는 점프 목록을 필수로 입력해줘야 한다. 점프 목록은 ‘%UserProfile%\AppData\Roaming\Microsoft\Windows\Recent’ 하위의 CustomDestinations 또는 AutomaticDestinations에 존재한다. CustomDestinations 하위에는 *.customDestinations-ms 확장자로, AutomaticDestinations 하위에는 *.automaticDestinations-ms 확장자로 점프 목록 파일이 존재한다. 경로에 한글이 존재할 경우 파일을 읽지 못한다. 이러한 경우에는 Windows의 dir 명령어를 이용하여 해결하면 된다.
[표 1]는 본 도구의 옵션에 대한 설명이다. [표 2]은 사용법에 대한 몇 가지 예시이며, 이를 응용하여 사용할 수 있다.
| 옵션 | 설명 |
|---|---|
| -csv | 데이터 필드를 쉼표로 구분한다. |
| -csvl2t | log2timeline 포맷으로 쉼표로 구분한다. |
| -bodyfile | sleuthkit 포맷으로 변환한다. |
| -username <name> | user 레코드에 지정 이름 입력한다. (영어) |
| -hostname <name> | host 레코드에 지정 이름 입력한다. (영어) |
| -pipe | 여러 파일을 한 번에 입력할 때, 데이터를 파이프로 구분한다. |
| -dateformat yyyy/mm/dd | 날짜 출력 형식 변환한다. 디폴트는 mm/dd/yyyy이며, yy/mm/dd, mm/dd/yy 등 원하는 형식으로 변환 가능하다. |
| -timeformat hh:mm:ss | 초 시간 출력 형식 변환한다. 디폴트는 hh:mm:ss.xxx이며, 마이크로초(xxxxxx), 나노초(xxxxxxxxx) 또는 초까지 출력할 수 있도록 변환 가능하다. |
| -no_whitespace | 필드 값과 구분자 사이의 공백을 제거한다. |
| -quiet | 명령 창에 파싱 과정을 보여주지 않고 생략한다. |
| -csv_separator "|" | csv의 쉼표 구분자를 다른 문자로 변경한다. |
| -show_offset | LNK offset 레코드를 추가하여, 파일의 시작 오프셋 표시한다. |
| -base10 | 크기 또는 주소를 출력할 때 10진수로 출력한다. 디폴트는 16진수이다. |
| -slack | 슬랙 공간의 삭제된 엔트리들 중 남아있는 점프 목록을 보여준다. AutomaticDestination-ms 파일만 가능하다. |
| -vss <index number of shaodw copy> | 본 버전에서 새로 생긴 옵션이며, 아직 테스트 버전이다. 볼륨 섀도우로부터 발견된 점프 목록을 파싱한다. (Windows XP 이하 실행 불가) |
| 기본 사용법 | > jmp.exe e70d383b15687e37.automaticDestinations-ms [도구명] [점프목록 파일] |
|---|---|
| 디렉터리 자동 스캔 | > dir “path\*Destinations-ms” /s /b | jmp.exe –pipe [dir] [디렉터리 경로] [옵션] [파이프][도구명][옵션] |
| 파싱 결과 출력 | > jmp.exe “path\*Destinations-ms” > result.txt > jmp.exe “path\*Destinations-ms” –csv > result.csv |
.png)
[그림 1]은 jmp를 실행하여 .txt 파일로 출력한 결과이다.
도구 기능[편집]
본 기능의 주요 기능은 점프 목록 파일 파싱이며, 사용자의 설정에 맞춰 출력 파일을 가공할 수 있는 몇 가지 기능(.csv, log2timeline, sleuthkit, 일시 형식 변환, 10/16진수 변환 등)을 제공한다.
제한사항[편집]
제한사항은 발견되지 않았다.
수사 활용 방안[편집]
본 도구는 라이브/덤프 상태에서 모두 사용할 수 있기 때문에, 점프목록을 분석해야하는 어느 상황에서도 활용할 수 있다.
