소개[편집]

JumpLister는 Windows 7부터 추가된 기능인 점프 목록을 분석하는 도구이다. 본 도구는 점프 목록을 자동 추출하지는 않고, 사용자가 선택한 하나 이상의 점프 목록 파일을 파싱하여 출력한다.
‘http://www.woanware.co.uk/forensics/jumplister.html’ 에서 다운로드 할 수 있으며, 오픈소스로 배포한다.

사용법[편집]

[그림 1] JumpLister ‘File > Load’

‘File > Load’를 통해 점프 목록을 [그림 1]와 같이 불러온다. [그림 1]에서 보이는 점프 목록은 다음과 같이 최근 문서 경로에 존재한다. 1) %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations 2) %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

[그림 2] 점프 목록 Load 실행 결과

프로그램은 세 개의 뷰로 나뉜다. 상단 뷰는 불러온 점프목록 파일명이며, 하단 좌측 뷰는 한 점프목록 파일 내에 각 스트림들을 파싱하여 트리구조로 나타낸 결과이다. 하단 좌측의 뷰에서 각 스트림들을 선택하면, 하단 우측 뷰에서 상세하게 파싱한 결과를 확인할 수 있다.

[그림 3] 점프목록 개별 스트림 파일 출력 화면

이 결과는 ‘File > Export’를 통해 개별 파일로 추출할 수 있으며, [그림 3]과 같이 한 파일 내에서 원하는 스트림만 마우스 오른쪽 클릭을 통해 추출할 수 있다.

도구 기능[편집]

소개에서 언급했듯이 본 도구는 자동으로 점프 목록 파일을 추적하는 것이 아니라, 사용자가 직접 선택한 점프 목록 파일을 파싱한다.
또한 매뉴얼에 의하면 메뉴 바의 ‘Tools > Options’의 ‘Use decimal to represent HEX values’를 체크하면 16진수를 10진수로 표현해준다고 한다. 하지만 직접 테스트한 결과, 옵션 기능 체크 시 분석 결과에 어떠한 변화도 나타나지 않았다.

제한사항[편집]

점프 목록 파일(*.AutomaticDestinations-ms, *.customDestinations-ms)만 분석 가능하므로 Windows 7 이상에서만 지원된다.

수사 활용 방안[편집]

본 도구를 활용하면 점프 목록의 생성 시간, 마지막 접근 시간, 계정명, 이용한 프로그램 등을 상세히 확인할 수 있다. 하지만 사용 환경에 따라 오류 발생이 잦다는 단점이 있다.