troushoo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

  1. --/--/--(--) --:--:--|
  2. スポンサー広告

以前開いたファイル、以前アクセスしたサーバー等を確認する方法 - AutomaticDestinations

C:\Users\<ユーザー名>\AppData\Roaming\Microsoft\Windows\最近使った項目\AutomaticDestinations のファイルを確認することで、メモ帳で以前開いたファイルや、リモートデスクトップ接続で以前アクセスしたサーバー等、アプリケーションが以前実行した事を確認することが可能です。

手順
1. Structured Storage Viewer を作者のサイトよりダウンロードします。
Structured Storage Viewer はフリーで使用可能です。


2. ダウンロードした Zip を展開した中にある、SSView.exeを起動します。


3. エクスプローラーで、以下のパスに移動します。
C:\Users\<ユーザー名>\AppData\Roaming\Microsoft\Windows\最近使った項目\AutomaticDestinations
AutomaticDestinations フォルダーは表示されていないので、手で入力する必要があります。


4. SSView.exe に、.automaticDestinations-ms ファイルをドラッグアンドドロップします。
ファイル名の数字は、各々、アプリケーションと対応しています。
例えば、9b9cdc69c1c24e2b はメモ帳で、1bc392b8e104a00e はリモートデスクトップ接続 です。


数字とアプリケーションの対応のリストは、こちらのサイトでも確認できます。


5. 「As HEX」を見てみます。
以下は、メモ帳の AutomaticDestinations のファイルを開いたスクリーンショットです。
「C:\Users\tr\Desktop\test.txt」が、以前開かれたことがわかります。


以下は、リモートデスクトップの AutomaticDestinations のファイルを開いたスクリーンショットです。
「192.168.111.114」にリモートデスクトップが実行されたことがわかります。



情報元
Explore adventures in the underland: forensic techniques against hackers evading the hook (英語) (18:02 あたりからです)

関連記事
Prefetch ファイルを利用し、起動したアプリの情報を収集 : WinPrefetchView
  1. 2016/10/09(日) 23:18:48|
  2. ツール
  3. | トラックバック:0
  4. | コメント:0
<<Azure でフェイルオーバー クラスター を構築 | ホーム | PerfView を用いて、アプリケーションの時間のかかっている処理を調査>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/309-b2f686cf
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。