automatic-destinations-file
Windows Automatic Destinations(자동 대상) 파일에서 LNK(바로가기) 항목을 파싱하여 최근 사용 파일 기록을 조회합니다. Automatic Destinations 파일은 Windows 7 이상에서 점프 목록(Jump List)의 자동 항목을 OLE 복합 파일 형식으로 저장하며, %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations 디렉터리에 위치합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 미지원 |
문법
옵션
zippath=STR- ZIP 파일 경로. 분석 대상 파일이 ZIP 아카이브 안에 있는 경우 ZIP 파일의 경로를 지정합니다.
zipcharset=STR- ZIP 엔트리 이름의 문자집합 (기본값:
utf-8) codepage=STR- Windows 기본 코드페이지. LNK 파일 내부의 ANSI 문자열을 디코딩할 때 사용합니다. (기본값:
euc-kr)
대상
FILE_PATH- Automatic Destinations 파일 경로. 와일드카드(
*)를 사용하여 여러 파일을 한 번에 조회할 수 있습니다.zippath옵션과 함께 사용하는 경우 ZIP 파일 내부의 경로를 지정합니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
| _file | 문자열 | 원본 Automatic Destinations 파일 이름 |
| app_id | 문자열 | 응용 프로그램 이름. 파일 이름의 App ID를 기반으로 조회한 값 |
| file_ctime | 날짜 | 원본 파일의 생성 시각 |
| file_mtime | 날짜 | 원본 파일의 수정 시각 |
| file_atime | 날짜 | 원본 파일의 접근 시각 |
| target_file_size | 64비트 정수 | 대상 파일 크기 (바이트) |
| target_file_attrs | 배열 | 대상 파일 속성 목록. READONLY, HIDDEN, SYSTEM, DIRECTORY, ARCHIVE, DEVICE, NORMAL, TEMPORARY, SPARSE_FILE, REPARSE_POINT, COMPRESSED, OFFLINE, NOT_CONTENT_INDEXED, ENCRYPTED, VIRTUAL 중 해당하는 값 |
| target_file_ctime | 날짜 | 대상 파일의 생성 시각 |
| target_file_mtime | 날짜 | 대상 파일의 수정 시각 |
| target_file_atime | 날짜 | 대상 파일의 접근 시각 |
| drive_serial | 64비트 정수 | 볼륨 시리얼 번호 |
| drive_type | 문자열 | 드라이브 유형. DRIVE_UNKNOWN, DRIVE_NO_ROOT_DIR, DRIVE_REMOVABLE, DRIVE_FIXED, DRIVE_REMOTE, DRIVE_CDROM, DRIVE_RAMDISK 중 하나 |
| volume_label | 문자열 | 볼륨 레이블 |
| local_path | 문자열 | 대상 파일의 로컬 경로 (ANSI) |
| local_path_unicode | 문자열 | 대상 파일의 로컬 경로 (유니코드) |
| net_name | 문자열 | 네트워크 공유 이름 |
| common_path_suffix | 문자열 | 공통 경로 접미사 |
| show_window | 문자열 | 창 표시 방식. SHOW_NORMAL, SHOW_MAXIMIZED, SHOW_MINIMIZED 등 |
| shortcut_name | 문자열 | 바로가기 이름 |
| working_dir | 문자열 | 작업 디렉터리 경로 |
| relative_path | 문자열 | 상대 경로 |
| cmd_args | 문자열 | 명령줄 인수 |
| icon_location | 문자열 | 아이콘 위치 |
| hot_key | 문자열 | 바로가기 키 조합 |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
| 오류 코드 | 메시지 | 설명 | 후처리 동작 |
|---|---|---|---|
| - | cannot read automatic destinations file [FILE_PATH] | 파일을 읽거나 파싱하는 도중 오류가 발생한 경우 | 쿼리 중단 |
설명
automatic-destinations-file 명령어는 Windows의 Automatic Destinations 파일을 OLE 복합 파일로 파싱하여 내부에 포함된 LNK(바로가기) 항목을 조회합니다. 하나의 Automatic Destinations 파일에는 여러 개의 LNK 항목이 포함될 수 있으며, 각 항목이 하나의 레코드로 출력됩니다.
파일 이름에서 App ID를 추출하여 내장된 App ID 매핑 테이블과 대조합니다. 매핑에 성공하면 app_id 필드에 응용 프로그램 이름을 할당합니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
단일 Automatic Destinations 파일 조회
automatic-destinations-file C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\f01b4d95cf55d32a.automaticDestinations-ms지정한 Automatic Destinations 파일에서 LNK 항목을 조회합니다.
-
와일드카드로 여러 파일 조회
automatic-destinations-file C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\*.automaticDestinations-msAutomaticDestinations디렉터리에서 모든 Automatic Destinations 파일을 조회합니다. -
ZIP 아카이브 내부의 파일 조회
automatic-destinations-file zippath=D:\evidence\artifacts.zip AutomaticDestinations\*.automaticDestinations-msZIP 아카이브 내부의 Automatic Destinations 파일을 조회합니다.
-
코드페이지를 지정하여 조회
automatic-destinations-file codepage=utf-8 C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\*.automaticDestinations-ms코드페이지를
utf-8로 지정하여 ANSI 문자열을 디코딩합니다. -
특정 응용 프로그램의 최근 사용 파일 조회
automatic-destinations-file C:\Users\user\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\*.automaticDestinations-ms | search app_id == "Microsoft Word"응용 프로그램 이름이
Microsoft Word인 항목만 필터링합니다.
호환성
automatic-destinations-file 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.