Windows XP에서는 OpenSaveMRU 라는 이름으로 레지스트리 값을 가졌던 아티팩트 입니다. Windows Vista이후 부터는 OpenSavePidlMRU 라는 이름으로 변경이 되었습니다.
Windows 탐색기에서 최근에 열거나 저장된 파일 정보를 저장하는 역할을 하며, Web Browsers 및 Applications를 통해서 열거나 저장한 파일의 정보를 저장합니다. 또한 해당 아티팩트를 분석해야하는 가장 큰 이유는 파일의 확장자 별로 그룹화 시켜서 데이터를 관리 한다는 점입니다.
사용자가 최근에 열거나 저장한 파일을 확인하기 쉽다.
Open/SavePidMRU 레지스트리의 경로는 아래와 같습니다.
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\OpenSavePidMRU
HKU\\[SID]\\Software\\Microsoft\\Windows\\CurrnetVersion\\Explorer\\ComDlg32\\OpenSavePidlMRU
해당 레지스트리 키값을 확인해 보면 위와 같이 OpenSavePidlMRU 레지스트리 키폴더 하위에 확장자 명을 가진 키 폴더가 존재 합니다. 각각의 확장자 명을 가진 키 폴더하위에는 데이터가 아무리 많아도 최대 20개의 정보만을 가지고 있습니다.
만약 21개의 데이터가 쓰인다면 가장 오래된 데이터가 지워지는 순서로 데이터가 남게 됩니다.
mp4 키 폴더를 확인해 보면 위와 같이 0부터 19 까지 20개의 데이터가 남아있는 것을 확인 할 수 있습니다.
웹 브라우저에서 최근에 열거나 저장된 파일( ex) .txt, .pdf, .htm, .jpg 등등)이 저장됩니다. Microsoft Office 프로그램을 통해서 열거나 저장된 문서는 OpenSavePidlMRU에 데이터가 남지 않습니다.
Windows 10에 존재 하는 OpenSavdPidlMRU를 확인해 보겠습니다.
해당 PC에서는 docx파일만을 열어 보았기 때문에 * 와 docx 밖에없습니다. OpenSavePidlMRU 레지스트리를 확인 할 수있는 OpenSaveFile Viewer를 이용해 보겠습니다. Download : https://www.nirsoft.net/utils/open_save_files_view.html
최하위 키의 폴더에는 MRUListEx 데이터가 다들어있는데 실행 순서가 들어 있습니다.
2 -> 1 -> 0 순서대로 실행이 됬었다는 것을 알 수 있습니다. 2번이 가장 최근에 사용된 파일이며, 0번이 가장 나중에 사용된 파일입니다.
OpenSavePidlMRU와 같이 사용되는 LastVisitedMRU 레지스트리가 있습니다. 한번 알아 보겠습니다.
LastVisitedPidlMRU 레지스트리는 OpenSavePidlMRU 레지스트리 데이터와 연관 되어 추가 정보를 제공 합니다. 해당 값도 OpenSavePidlMRU 레지스트리 값처럼 최근에 사용한 프로그램 실행파일 이름 과 프로그램을 열거나 저장하는데 사용한 파일의 폴더 경로를 포함합니다.
위의 레지스트리의 경로는 아래와 같습니다.