소개[편집]

SFP는 300KB도 안 될 정도로 매우 작은 용량의 도구이다. GUI 환경에서 최근 문서(.lnk), 프리패치, 점프 목록(Beta), $I30을 파싱하여 출력한다. 본 도구의 도움말에 있는 제작자 블로그는 삭제된 상태이며, 포탈 검색을 통해 다운로드 가능하다. 본 도구는 프리웨어로 제공된다.

사용법[편집]

‘File > Parse .lnk > Recent Folder’를 통해 사용자가 직접 경로를 지정하여 최근 문서를 확인할 수 있다. ‘File > Parse .lnk > Recent Folder(Local)’은 도구가 자동적으로 최근 문서 경로에서 결과를 추출한다. 나머지 기능들(프리패치, 점프리스트, $I30)도 동일하게 진행한다.
[그림 1]는 SFP 도구에서 ‘.lnk’를 파싱한 결과를 보여준다.

[그림 1] SFP ‘.lnk’ 파싱 실행 결과

도구 기능[편집]

본 도구는 최근 문서, 프리패치, 점프목록, $I30(NTFS 인덱스)을 파싱할 수 있다고 한다. 자동으로 해당 파일의 경로를 추출하진 않고, 사용자가 직접 해당 파일을 입력해야 한다. 결과는 Export 메뉴를 통해 CSV 파일로 추출할 수 있다.
직접 실행해본 결과는 최근 문서와 프리패치, $I30만 파싱되었다.

제한사항[편집]

SFP 도구 자체는 Windows XP 이상을 지원하지만, 기능별로 차이가 있다. ‘.lnk’는 정상적으로 작동하지만 [그림 1], [그림 2]과 같이 한글 출력을 지원하지 않아, 문자 출력에 문제가 있다. ‘Prefetch’는 Windows XP에서만 정상 작동하였다. ‘Jump-List’는 모든 운영체제에서 작동을 하지 않았으며, 2012년 이후로 버전 업데이트되지 않고 제작자 블로그는 삭제한 상태이다.

[그림 2] SFP CSV 파일 출력 결과

수사 활용 방안[편집]

네 가지의 파싱 기능 중에서 실행되는 기능은 ‘.lnk’와 ‘Prefetch’ 두 가지 기능이었다. 하지만 이마저도 경로 출력 시 한글을 지원하지 않아, 국내에서 사용 시 유용하지 않을 것으로 판단된다.