最近開いたファイルを調査しよう！【Recent Files編】

こんにちは、ぎんたです。

IT・フォレンジック・セキュリティアナリスト関連業務を8年ほどやっております。

さまざまな要望や声が聞こえてきます。

フォレンジックの技術・知識を使えば、このような要望に応えることができますよ。

今回は、Recent Filesを解析して端末上で開かれたファイル・フォルダを調査する方法について解説していきます。

Recent Filesの内容と解析対処の場所

Windowsでは、ユーザーごとに最近開いたファイルやフォルダのリストを管理しています。

Windows エクスプローラーを起動させたときに表示される「最近使用した項目」は、この情報を参照しています。

この設定はユーザーごとに異なるため、NTUSER.DATハイブに配置されており、以下の場所で見つけることができます。

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

このアーティファクトを解析することで、

• 最近開いた各ファイル・フォルダ名
• 各ファイル・フォルダの最終更新日時から最後に開かれた日時

を特定できます。

このアーティファクトを解析するツールですが、今回はEricZimmerman氏のツールにある「Registry Explorer」を紹介します。

使い勝手が良く無料で使える、フォレンジックの実務でもよく使われるツールの一つです。

このツールは無料で公開されており、以下のリンクからダウンロードできます。

「Eric Zimmerman’s toolsのダウンロードサイト」

Registry Explorerを使ったRecent Filesの解析

解析して出力された結果を見てみましょう。

使い方は簡単で、以下の方法であらかじめ抽出したNTUSER.DATハイブを読み込むだけです。

RecentDocsの解析

「Software→Microsoft→Windows→CurrentVersion→Explorer→RecentDocs」と画面左側のフォルダをたどっていきます。

画面右側の「Recent documents」タブを見ていくと、最も最近開いた（MRU）ファイルがリストの一番上に配置され、新しい順に上から並べて表示してくれます。

「.拡張子」の解析

Recent Filesのアーティファクトには、.docx、.7zなどのファイル拡張子ごとのキーも存在します。

キーごとに、特定のファイル拡張子の最後に使用されたファイルに関する情報を提供してくれます。

例：拡張子が「.docx」の例

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.docx

Registry Explorerの画面左側で「Software→Microsoft→Windows→CurrentVersion→Explorer→RecentDocs」とたどっていくと、「.×××」という拡張子ごとのキーが見えてきます。

下の図は「.docx」のキーを参照した例です。

確認すると、最後に開いた時刻は「2022-12-02 10:40」でファイル名が「$IWKWHDC.docx」であるとわかります。

もしマルウェアに感染した原因となるWordファイルの場合、感染のトリガーとなった開封時刻を特定することができます。

Folderの解析

最近開いたフォルダの情報も解析できます。

Registry Explorerの画面左側で「Software→Microsoft→Windows→CurrentVersion→Explorer→RecentDocs」とたどっていくと、「Folder」というキーが見えてきます。

ここでは、最近開いたフォルダ名や最後に開かれた日時が記載されています。

※画像は省略します。

まとめ

今回は、Recent Filesを解析して端末上で開かれたファイル・フォルダを調査する方法について解説しました。

以上、ぎんたでした。